[일문일답]고학수 "SKT, 총체적 허술한 상태…유심정보는 개인정보"

개인정보위, 27일 전체회의 28일 브리핑
SK텔레콤 해킹 사태에 역대 최대 과징금
'매우 중대함'으로 판단…가중·감경 조치

개인정보보호위원회가 SK텔레콤에 해킹 사태로 인한 정보 유출 혐의로 1348억원이라는 역대 최대 규모의 과징금을 부과했다. 고학수 개인정보위 위원장은 28일 브리핑을 열고 "총체적으로 회사가 꽤 오랜 기간을 두고 전반적으로 (보안이) 허술한 상태를 유지하고 있었다"며 "조치를 할 수 있었던 계기들이 중간중간 있었는데 그걸 놓쳤다"고 말했다.

그는 일상을 함께하는 소통 창구인 휴대폰에서 '유심 정보'는 매우 핵심적인 개인정보라고 판단했다. 전날 열린 위원회 전체회의에 SKT 관계자가 참석해 당사의 입장을 설명했으며 질의응답도 가졌다고 했다. 고 위원장은 SKT의 개인정보보호책임자(CPO)의 역할이 제한적이었던 점도 이번 사태의 일부 원인이 됐다고 봤다. 그는 다음 달 중 통신사와 같은 대규모 개인정보 처리자의 개인정보 보호와 보안 관련 투자 확대를 유도하기 위한 종합 대책을 발표하겠다고 했다.

고학수 개인정보위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고에 대해 제재처분을 발표하고 있다. 개보위는 이날 과징금 1,347억 9,100만원과 과태료 960만원을 부과했다. 2025.8.28 조용준 기자

다음은 고 위원장과의 일문일답.

-과징금 규모는 어떻게 산정된 건가. 구체적인 경위와 배경을 설명해달라.

▲회사의 전체 매출액에서 유출과 관련 없는 매출액을 제외한다. 예컨대 이번 건은 LTE와 5G 네트워크를 쓰는 개인 고객과 관련이 있어 법인 고객 관련 매출은 제외했다. 과징금 고시에 따라 기준 금액을 정한 다음에 중대성 판단을 한 뒤에 1차, 2차 가중·감경 등 조정을 거쳐 최종 과징금 액수를 결정한다.

중대성의 경우 '매우 중대함'으로 결정됐다. 또 위반 기간이 3년이 넘어 가중했고, 직접적인 경제적 이득을 취하지 않은 부분은 감경을 했다. 회사가 피해보상을 위해 어떤 노력을 했는지 등을 고려해 감경을 했다.

-CPO 역할 등 개인정보 제도 개선은 어떤 방향으로 이뤄지고 있나

▲이 사건이 이제 발생한 이후에 회사가 CPO 또 CISO를 새로 영입하거나 선임했고, 그 과정에서 내부 조직 개편도 했다. 이게 완결된 것이 아니고, 지속적인 고민을 하고 있는 중이라고 한다. 유사한 문제가 다시 생기지 않도록 하는 것이 회사 쪽의 고민이 될 것이다.

SKT는 CPO가 네트워크 인프라를 볼 수도 있지만 현실에서는 굉장히 제한적으로만 보는 업무 관행이 만들어졌던 것 같다. 효율적으로 회사 네트워크 전반을 볼 수 있는 체계를 만들 것인가에 관해서는 계속 고민을 하고 위원회와 소통하기로 했다. 거버넌스 체계를 마련할지에 대해서는 만들어가는 과정이라고 보면 될 것 같다.

-어제 전체회의에서 SK텔레콤은 어떤 의견을 개진했나

▲어제 출석을 해서 굉장히 상세한 설명을 했다. 저희가 지적한 문제에 대한 구체적인 설명도 하고 좀 큰 틀에서 앞으로 어떻게 개선해 갈지에 관한 설명도 했다. 그전까지는 '회사가 합리적인 선에서 할 수 있는 건 다 했다'는 입장이었는데, 어제는 '사실은 문제가 좀 있었고 그에 대해서 굉장히 아쉽기도 하고 죄송스럽게 생각한다'고 말했다. 어제 회사 쪽 설명은 그전과 약간은 달라져 있었다.

앞으로 훨씬 더 적극적으로 위원회하고 소통을 하면서 문제가 안 생기도록 노력을 최대한 열심히 하겠다는 취지의 설명을 다각도로 했다. 그에 대해서 위원들이 궁금한 점을 질문하고, 회사 쪽의 설명을 듣고 질의응답을 했다. 여타 사건에 비해서 훨씬 긴 시간을 할애해서 진행했다. 회의가 저녁 식사 시간을 넘겨 김밥을 먹으면서 논의하기도 했다.

-2022년 구글에 과징금 내릴 때와 비교해 인과관계 판단이 수월했나

▲위원회 내부적으로 침해사고와 유출사고로 크게 구분한다. 이번 건은 유출사고 카테고리에 들어간다. 해커가 들어가서 정보를 빼간 유형의 사안은 일반적으로 사건이 발생한 지 얼마 안 된 경우에는 회사 로그기록 같은 것, 접근한 기록들, 네트워크 상황이 어땠는지 등의 정보가 상대적으로 많이 있기 때문에 빨리 조사하면 할수록 상황 파악이 수월하다.

구글, 메타 유형의 건들은 침해사고라고 부른다. 해커나 누군가가 불법적으로 침입해서 정보를 빼간 종류의 사안이 아니다. 침해사고의 경우는 개별 건에 따라 다른 종류의 판단과 분석이 필요하다. 그래서 구글, 메타 건의 경우는 이 사건의 본질을 어떻게 볼 것인지에 관해서 분석하고 정리하고 논의하고 하는 과정이 훨씬 더 오래 걸렸다.

-이번 사태가 국민에게 피해를 많이 끼쳤다고 판단했나. 유심정보를 개인정보로 판단했나.

▲예. 위원들은 총체적으로 회사가 꽤 오랜 기간을 두고 전반적으로 허술한 상태를 유지하고 있었고 봤다. 총체적으로 굉장히 취약한 상태에 놓여 있고, 그런 것을 회사가 꽤 긴 기간을 두고, 조치를 할 수 있었던 계기들이 중간중간 있었는데 그걸 놓쳤다. 그래서 위원들이 전반적으로 답답함을 느낀 부분들이 있다. 우리 국민의 대략 절반이 가입된 통신사이고, 일상을 함께 하는 소통 창구인 휴대폰에 있어서 엔지니어링적인 관점에서의 아주 궁극적인 출발점이 유심 정보다.

개인이 외부와 소통함에 있어서 가장 핵심적인 정보라고 할 만한 정보가 유출됐기 때문에 너무 당연히 개인정보라고 판단을 하면서, 그에 대해서는 내부적으로 의심을 해 본 적이 전혀 없다.

-SKT가 행정소송에 나설 가능성에 대해선

▲회사가 추후에 소송을 할지 여부는 이 자리에서 예단해서 얘기할 상황은 아닌 것 같다. 처분하는 과정에서 조사 TF를 꾸려서 진행했는데, 저희 조직 규모로 볼 때 TF에 이례적으로 많은 인력이 투입됐다. 조사 전문가뿐 아니라 사실 뭐 법률 전문가, 회계 전문가가 투입됐다.

-개인정보 안전 체계 관리 종합 대책에는 어떤 내용이 담기나.

▲다음 달 중에 대규모 개인정보 처리자의 개인정보 보호와 보안 관련 투자 확대를 유도하기 위한 제도 개선 사항과 인센티브 체계 개편을 담은 개인정보 안전 관리 체계 강화 종합 대책을 마련하여 발표할 예정이다.

개인정보 담당자가 조직안에서 큰 역할을 부여받지 못하는 경우도 많고, 경우에 따라 문제 상황에서 책임만 떠맡는 경우도 꽤 많았다. 그 책임에 걸맞은 그 조직 안에서의 이제 권한도 부여받고, 조직과 예산도 확보할 수 있는 방향으로 준비하고 있다. 외부분들과 소통을 일부 하면서 좀 정리하고 있고 조만간 확정해서 발표할 예정이다.

정책의 큰 방향은 현장에 있는 분들이 책임감과 소명의식을 가질 수 있고, 리스크 요소들을 어떤 식으로 전향적으로 고려하면서 반영할 수 있을지, 인센티브를 어떤 식으로 부여할지, 그런 틀에서 바라보고 있다.

-어제 전체 재적 위원 9명 중 7명이 참석했다. 2명이 참석 안 한 이유는.

▲7명이 회의를 하게 된 어떤 경위는 2명이 회피했기 때문이다. 2명이 회피한 것은 당사자가 공정한 판단을 저해할 우려가 있을 것 같다고 스스로 판단을 했기 때문이다.

김보경 기자 bkly477@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>