"피해보상은?"..KT 800만 정보유출사고 3문 3답

[이데일리 김정민 기자]KT가 800만 명에 달하는 고객정보를 해킹당했다. 올해 2월부터 고객정보가 새나가 불법 텔레마케팅(TM)에 이용됐지만 KT는 이같은 사실은 5개월이 지나서야 파악했다. 일부 고객들은 고객정보를 전량 회수했다는 KT측 발표를 믿지 못하겠다는 반응이다. 아울러 개인정보 유출에 따른 피해보상을 요구하는 목소리가 나온다. 이번 해킹 사고에 대한 의문점을 Q&A방식으로 정리해 봤다.

Q. 5개월 동안 지속적으로 개인정보가 유출됐는데 왜 몰랐나?

A. KT의 고객정보 조회시스템을 해킹한 해커가 영리했다. 일시에 대량의 고객정보를 조회하면 들통날 것을 우려, 의심받지 않도록 소량의 정보만 검색해 영업점에서 일상적으로 이뤄지는 고객정보 조회로 위장했다. 그러나 7월 들어 일시에 대량의 고객정보 조회가 발생하자 KT가 경찰에 수사를 의뢰하면서 꼬리가 잡혔다.

대량의 고객정보 조회가 이뤄진 것은 해커 일당이 해킹 프로그램을 다른 TM업자에게 판매한데다 이를 또다른 TM업자가 복사해 사용하는 등 해킹 프로그램 이용자가 늘어난 때문으로 보인다. 통신사들은 특정 영업점에서 일정 수준 이상의 고객정보를 조회할 경우 이상징후로 판단, 모니터링을 실시한다.

Q. 유출된 고객정보 전량 회수했다는 발표 믿어도 되나?

A. KT는 해당 용의자들을 모두 검거했고 그 과정에서 용의자간 거래내역을 확인, 이들의 고객정보 서버와 PC를 전부 압수한 만큼 외부에 유출된 고객정보를 전량 회수한 것으로 판단하고 있다.

그러나 디지털정보의 속성상 100% 회수를 자신하기는 어렵다. 해커 일당이나 이들로부터 해킹 프로그램을 사들인 TM업자들이 복사본 등을 숨겨뒀을 수 있다. 또 경찰수사에서 드러나지 않은 제3의 인물이 존재할 가능성도 있다.

Q. 개인정보가 유출된 고객에 대한 피해보상은?

A. 이번에 유출된 개인정보는 주민등록번호 뿐만 아니라 가입한 요금제, 휴대전화 번호 등 10종이나 된다. 악용할 경우 모바일 소액결제나 휴대폰을 담보로 한 사채 대출도 가능하다.

이에 따라 KT는 이번 사고로 유출된 개인정보가 고객의 의사와는 관계없이 서비스에 가입하거나 사채업자에게 돈을 빌리는 등 불법적인 행위에 사용된 사실이 입증되면 손해 규모에 따라 피해를 보상해 주기로 했다. 하지만 개인정보가 유출됐다는 것만으로는 보상이 없다. 과거 판례를 봐도 관리자의 명백한 위법행위가 입증되지 않는 한 법원은 개인정보 유출에 대해서는 보상책임을 묻지 않았다.

다만 1심이기는 하지만 최근 대구지방법원 구미시법원이 SK컴즈의 정보유출 사건에 대한 관리책임을 물어 100만원의 위자료를 지급하라는 판결을 내린 사례가 있다. SK컴즈는 판결에 불복해 항소했다.