SK텔레콤(017670)(SKT)이 2300만명의 개인정보가 담긴 유심이 해킹당한 사건으로 1347억9100만원의 과징금을 부과받았다. 그동안 개인정보 관련 사건과 관련해 정부가 부과한 과징금 중 역대 최대 규모지만, 법령 상 가능한 최대 과징금 규모보다 2500억원 이상 감경돼 최악의 상황은 면하게 됐다. 사건 발생 후 고객 구제 조치가 감경 사유로 인정받은 것으로 풀이된다.
개인정보보호위원회는 28일 전날 개최한 18차 전체회의에서 SKT에 이같은 과징금과 과태료 960만원을 부과하기로 결정했다고 밝혔다. 개인정보위는 이와 함께 SKT에 전반적인 시스템 점검과 안전조치 강화, 전사적인 개인정보 관리·대응 체계 정비 등 재발 방지를 위한 시정조치안을 의결했다.
이번 약 1348억원 규모의 이번 과징금은 그동안 개인정보위가 개인정보를 유출하거나 오용한 기업을 대상으로 매겼던 역대 과징금 중 가장 큰 규모다. 지금까지 개인정보위가 부과한 역대 최대 과징금은 2022년 9월 구글과 메타에 각각 692억원, 308억원을 부과한 총 1000억원이다. 구글과 메타는 당시 이용자 동의없이 개인정보를 수집해 온라인 맞춤형 광고에 활용해 개인정보보호법을 위반했다. 이번 SKT와 같은 개인정보유출 사건만 놓고 보면 지난해 5월 ‘카카오톡 오픈채팅방 개인정보 유출’ 사건에서 카카오에 내려진 151억 원이 최대였다.
역대 최대 과징금이지만 그동안 업계에서 과징금 규모가 3000억원 대 중반에 이를 수 있다는 관측도 나왔던 점을 고려하면 SKT는 최악의 상황은 면하게 됐다. 개인정보보호법상 과징금은 관련 부문 매출액의 3% 이내에서 부과할 수 있으며, 지난해 SK텔레콤의 무선통신사업 매출은 12조7700억원으로 이론상 약 3831억원의 과징금이 가능했다. 개인정보위는 SKT가 사건 발생 이후 피해자 구제 및 재발 방지 대책을 마련한 점 등을 감경사유로 반영해 최종 제재 수위는 최대 수준에서 2500억 원 가량 낮은 선에서 결정됐다.
조사 결과 이번 해킹사건으로 개인정보가 유출된 이용자의 수는 기존에 알려진 약 2969만 건 보다 600만 여건 줄어든 2324만4649명으로 나타났다. 법인과 공공회선, 기타 회선을 제외한 이용자 수다. 해커는 2021년 8월 SKT 내부망에 최초 침투한 뒤 이듬해 고객인증시스템에 악성프로그램을 설치하고 이후 올 4월 데이터베이스에 저장된 이용자 개인정보를 외부로 유출한 것으로 나타났다.
개인정보위는 이 과정에서 SKT가 사내망과 인터넷망, 관리망 등을 동일한 네트워크를 이용하는 등 불법 침입에 취약한 상태로 두거나 유심 인증키를 암호화하지 않고 평문으로 저장하는 등의 안전조치 의무 위반이 있었다고 설명했다.
고학수 개인정보위 위원장은 “이번 사건을 계기로 대규모 개인정보를 보유·처리하는 사업자들이 관련 예산과 인력의 투입을 단순한 비용 지출이 아닌 필수적인 투자로 인식하길 바라며, 나아가 데이터 경제시대 개인정보관리 책임자(CPO)와 전담조직이 기업경영에서 차지하는 역할과 중요성을 제고하여 개인정보 보호 체계가 한 단계 강화되는 계기가 되길 바란다”라고 말했다.
SKT 측은 이번 과징금 조치에 대해 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것”이라며 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않은 점은 유감이다. 향후 의결서 수령 후에 내용을 면밀히 검토하여 입장 정할 예정”이라고 말했다. 의결서 전달은 절차는 통상 1~3개월 가량 소요된다. 이후 90일 이내에 수신 기업이 입장을 밝혀야 한다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
rok@sedaily.com
