KT, 해킹 소송에서 불리해져..방통위, 중대한 위반(일문일답)

[이데일리 김현아 기자] 방송통신위원회(위원장 최성준)가 홈페이지 해킹으로 고객 980만 명, 1170만건의 개인정보가 유출된 KT에 대해 관련 법상 기술적·관리적 보호조치 미비의 책임이 있다고 인정했다.

KT는 불가항력이라고 주장했지만, 이번 해킹 사건이 정보통신망법상 기술적·관리적 보호조치 미비로인한 개인정보 누출이라고 판단한 것이다. 관련 법규 위반의 정도는 ‘중대한 위반’으로 봤다.

방통위는 26일 전체 회의를 열고, KT에 대해 7000만 원의 과징금과 1500만 원의 과태료, 그리고 재발방지를 위한 기술적·관리적 보호조치를 수립해 시행토록 하는 시정명령을 부과했다.

언뜻 보면 980만 고객 정보 유출에 비해 행정처분 수준은 낮아 보인다. 하지만, 이번 과징금 규모 자체 보다는 이후 민사소송에 미치는 영향이 클 전망이다. 통신분야 전문 규제기관(방통위)이 이번 해킹사건과 KT의 보호조치 위반 사이에 인과관계가 있다고 판단한 이유에서다.

앞서 경실련 소비자정의센터(대표 김성훈)는 이날 해킹 피해자 2796명과 함께 서울중앙지방법원에 손해배상 소송을 제기했다.

다음은 방통위 엄열 개인정보보호윤리과장과의 일문일답

-과징금 부과 기준에서 매우 중대한 위반이 아니라 중대한 위반으로 본 이유는

▲매우 중대한 위반이 되려면 망법상 기술적·관리적 보호조치 위반으로인해 정보통신서비스 사업자가 직접 이득을 봐야 하는데 그렇지 않았다. 그래서 (2번째 단계인) 중대한 위반이 됐다. 직접 이득을 취하고, 피해규모가 전체 개인정보의 100분의 5를 넘으며, 이용자의 개인정보가 공중에 노출되는 3가지 조건을 만족하면 매우 중대한 위반이 된다.

-피해 규모에 비해 과징금이 너무 낮은데.

▲현행 법에서는 1억 원 이하로 명시적으로 법에 돼 있다.

-올해 11월 29일부터 시행되는 개정법에 따르면 인과관계 입증 없이도 개인정보 유출 사실만으로 기업들이 처벌받는 것 아닌가.

▲현재는 기술적·관리적 보호조치 위반과 개인정보 유출 사이에 인과관계가 있어야 행정처분을 할 수 있는데, 4월에 국회를 통과한 정보통신망법 개정안에는 일단 유출 사고가 있고, 결과적으로 기술적·관리적 조치를 위반한 사실이 있으면 그 사이의 인과관계가 없어도 관련 매출액의 3%까지 과징금으로 부과할 수 있게 돼 있다.

-KT 측에서도 이야기했지만 기술적·관리적 보호조치라는 걸 규제당국도 일일이 열거하기 어려운데 차라리 자율규제로 가는 건 어떤가.

▲기업들이 지켜야 하는 기술적·관리적 보호조치는 법 규정에 6개로 규정돼 있고 시행령과 고시로 구체화 돼 있다. (하지만) 모든 경우를 상정하고 이를 규정할 순 없다. 그런 부분들은 인정한 부분이고, 이런 규정들이 상세하게 안 돼 있으니 기업 자율에 맡기고 처벌 책임을 강화하자는 게 KT 주장이었고, 이 역시 논란은 있다. 입법적 측면에서 검토해야 하고, 이번 경우는 현행 법에 따라 처벌한 것이다.

-KT가 행정소송을 할 가능성은.

▲KT가 알아서 할 것이다.

-980만 고객 정보 해킹 사건과 KT의 기술적 관리적 보호조치 위반의 인과관계는 뭐였나.

▲먼저 일단 로그인 하면 타인의 고객서비스계약번호(9자리)를 입력하더라도 인증단계 없이 타인의 정보(이름 등)까지 조회가능하다는 점, 비정상적으로 많은 해커의 접속 시도를 탐지 시스템이나 정책이 걸러내지 못했고, 내부망으로만 접속돼야 하는데 외부망으로도 접속할 수 있게 해 그런 부분에 대한 조치가 없었던 것, 또한 외부망 접속시스템에 대해서도 특정 아이디에 대해 인증단계를 제대로 하지 못한 것 등 4가지를 접근통제 위반(과징금 대상)으로 봤다.

-그렇다면 과태료 대상은 무엇인가.

▲개인정보 전송과정에서 암호화기술을 미적용했고, 일부 가입자의 주민등록번호를 암호화하지 않고 평문 저장한 점 등이 과태료 대상이었다.

-KT는 아직 해킹 사건 이후 고객 보상 방안을 내놓지 않고 있는데 위약금 없는 해지명령 등은 불가능한가.

▲KT가 이 사건 이후 이용자 보호 조치를 어떻게 했는지 특별히 파악된 것은 없고, 이용자 통지는 다 된 것으로 안다. 또 일부 시민단체에서 이용자 개인 이름을 명시하지 않고 통지한 부분을 문제제기 해서 KT가 이용자명을 적시해서 통보한 것으로 안다. (경실련이 요청하는 위약금 없는 해지 등의 부분은) 이용약관 부분인데 이는 방통위가 판단할 수 없는 부분이다.