980만건 개인정보 빠져나갔는데…KT 벌금은 '8500만원'

[아시아경제 김영식 기자]지난 3월 홈페이지 해킹으로 980만명의 개인정보가 유출됐던 KT에 대해 방송통신위원회가 기술적 관리조치 미비의 책임을 물어 총 8500만원의 과징금·과태료 부과와 함께 재발방지를 위한 시정조치 명령을 내렸다.

그러나 벌금 총 액수가 1억원 이하로 결정되면서 사건 규모에 비해 솜방망이 처벌이란 비난을 피할 수 없을 것으로 보인다. 또 이번 결정에 근거한 피해자들의 집단소송도 잇따를 것으로 예상된다.

방통위는 26일 개최한 전체회의에서 'KT의 개인정보보호법규 위반에 대한 행정처분' 안건을 의결하고 과징금 7000만원에 과태료 1500만원을 부과하는 한편 시정조치 명령과 개선권고를 내리기로 결정했다.

방통위는 개인정보가 유출된 KT의 요금조회 홈페이지 ‘마이올레’와 멤버십서비스 홈페이지인 ‘올레클럽’을 조사한 결과 정보통신망법에 규정된 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영(제28조제1항제2호)’, ‘개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)’를 이행하지 않아 기술적 관리·보호조치를 갖추지 않았다고 판단했다.

마이올레 홈페이지는 해커가 고객정보가 담긴 요금명세서를 조회하기 위해 고객서비스 계약번호를 입력하는 과정에서 본인일치 여부를 인증하는 단계가 없었고, 특정인에 의해 하루 최대 24만1279건의 개인정보가 조회되는 이상조짐이 있었는데도 이를 감지하지 못해 망법 28조1항2호의 접근통제를 위반한 것으로 봤다. 올레클럽 홈페이지도 사내망으로 접속해야 함에도 해커가 외부에서 접속이 가능했고 사용할 수 없는 퇴직자의 ID로 총 2753번 접속해 8만3246건의 개인정보가 조회된 것 역시 접근통제를 위반한 것이라고 방통위는 밝혔다.

해커가 사용한 수법이 널리 알려진 방식(파라미터 변조)인 점, 지난 2012년 7월 해킹사고를 당한 전력이 있어 유사한 사고가 재발할 수 있다는 사실을 사전에 인지하고 있는 상태인 것 역시 기술적 관리·보호조치가 미비하다는 판단의 근거가 됐다.

방통위는 마이올레와 올레클럽 홈페이지의 접근통제 조치 미비가 ‘중대한 위반’에 해당하는 것으로 판단해 과징금 7000만원을 부과했으며, 올레클럽의 개인정보 전송과정에 암호화 기술이 미적용되고 일부 가입자의 주민등록번호가 암호화 조치 없이 평문으로 저장된 것에 대해 과태료 1000만원에 가중치 50%를 적용해 1500만원을 부과키로 결정했다.

현재 '정보통신망이용촉진 및 정보보호등에관한법률' 28조 ‘개인정보의 보호조치’ 에 따르면 개인정보의 도난·누출 등을 방지하기 위한 기술적·관리적 조치를 하지 않아 개인정보가 유출된 경우 1억원 이하의 과징금을 부과할 수 있다. 또 기술적·관리적 조치를 하지 않은 경우 3000만원 이하의 과태료를 부과하는 규정이 있다.

지난 3월 경찰은 KT 홈페이지에 접속해 불법해킹 프로그램으로 가입자 개인정보를 빼낸 혐의로 전문해커 2명을 구속하고, 유출한 개인정보를 텔레마케팅에 활용해 부당이득을 챙긴 판매업체 대표 등을 같은 혐의로 입건한 바 있다. 방통위에 따르면 당시 KT 가입고객 개인정보 1170만8875건이 유출됐으며, 중복사용을 제외하면 실제 피해자 수는 981만8074명으로 확인됐다. 가입자들의 이름, 주소, 주민등록번호, 전화번호, 이메일, 신용카드번호, 카드유효기간, 은행계좌번호, 고객관리번호, 유심카드번호, 서비스가입정보, 요금제 관련 정보 등 12개 항목의 개인정보가 빠져나갔다.

최성준 방송통신위원장은 “개인정보 누출에 대한 사업자의 책임을 인정하는 이번 행정처분을 통해 국민 개인정보를 대규모로 다루는 사업자들에게 경종을 울리는 계기가 될 것”이라면서 “앞으로도 온라인에서 개인정보를 다루는 기업들의 개인정보 보호조치를 적극 점검해 국민들의 불안과 피해를 최소화하겠다”고 밝혔다.

또 개인정보 누출로 국민들이 입는 불편과 피해에 비해 제재수준이 너무 낮다는 지적에 따라, 올해 12월부터 시행되는 개정 정보통신망법에서는 기술적ㆍ관리적 보호조치와 개인정보 유출간의 인과관계가 없더라도 관련 매출액의 3%이하 과징금을 사업자에게 부과하게 된다. 또 이용자의 구체적인 손해 입증 없이도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도도 도입된다.

김영식 기자 grad@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>