[경제일보] 불법 초소형 기지국인 펨토셀을 통해 가입자 정보가 유출되고 무단 소액결제 피해까지 발생한 KT에 대한 정부 제재가 이르면 이달 말 확정될 전망이다. 법정 과징금 상한을 단순 계산하면 2000억원 안팎에 이르지만 실제 부과액은 위반 행위와 관련된 매출 범위, 안전조치 의무 위반 정도, 피해구제 노력에 따라 크게 달라질 것으로 보인다.
19일 통신업계에 따르면 개인정보보호위원회는 KT의 개인정보 보호법 위반 여부와 과징금·시정명령 등 제재 안건을 오는 29일 전체회의에서 심의하는 방안을 검토하고 있다.
다만 19일 현재 개인정보위가 공개한 회의 현황에는 지난 15일 제14회 제1소위원회와 지난 8일 제13회 전체회의까지만 올라와 있다. KT 안건의 29일 상정 여부는 공식 확정되지 않은 만큼 추가 검토에 따라 일정이 달라질 가능성도 있다.
◆ 피해 회선 2만2227개, 정보주체는 1만6000여명
KT는 지난해 수도권 일부 지역에서 불법 펨토셀이 내부 통신망에 접속하면서 가입자 정보가 유출되는 사고를 겪었다.
과학기술정보통신부 민관합동조사단은 불법 펨토셀에 접속한 가입자를 2만2227명으로 파악했다. 유출 정보에는 전화번호와 국제이동가입자식별번호(IMSI), 국제단말기식별번호(IMEI)가 포함됐다. 이 가운데 368명에게서 총 777건, 약 2억4300만원 규모의 무단 소액결제 피해가 발생했다.
개인정보위가 KT에 보낸 처분 사전통지서에는 개인정보가 유출된 정보주체가 1만6000여명으로 기재된 것으로 알려졌다. 과기정통부는 불법 펨토셀 접속 이력이 있는 회선을 기준으로 조사한 반면 개인정보위는 법인용 회선과 중복 회선 등을 제외한 것으로 전해졌다. 현행 개인정보 보호법은 살아 있는 자연인에 관한 정보를 보호 대상으로 삼으며 법인이나 단체 자체의 정보는 개인정보에 포함하지 않는다.
따라서 ‘2만2227명 유출’과 ‘1만6000여명 유출’은 어느 한쪽이 틀린 수치라기보다 조사 목적과 산정 기준이 다른 결과에 가깝다. 제재 처분에서는 개인정보위가 산정한 정보주체 규모가 직접적인 기준으로 활용될 가능성이 크다.
◆ 단순 계산하면 2000억원…실제 과징금은 별개
KT에 적용되는 사고 당시 개인정보 보호법상 과징금 상한은 위반 행위와 관련된 최근 3개 사업연도 평균 매출액의 3%다. KT의 최근 3년간 무선서비스 매출은 연평균 약 6조6689억원으로 추산된다. 이를 단순히 3%에 대입하면 약 2000억원이 나온다.
그러나 이 금액을 예상 과징금으로 단정하기는 어렵다. 개인정보위는 전체 무선서비스 매출 가운데 어느 범위를 위반 행위 관련 매출로 볼 것인지 정한 뒤 위반의 중대성과 기간, 유출 규모, 실제 피해, 사후 조치 등을 반영해 부과기준율을 적용한다. 이후 가중·감경 절차도 거친다.
SK텔레콤도 지난해 약 2300만명의 유심 관련 정보가 유출된 사고로 법정 상한에 가까운 과징금이 거론됐지만 최종 부과액은 1347억9100만원이었다. 개인정보위는 당시 핵심 네트워크 관리 소홀과 안전조치 의무 위반, 유출 통지 위반 등을 처분 근거로 제시했다.
KT의 피해 규모는 SK텔레콤보다 작다. 다만 개인정보가 실제 범죄에 이용돼 368명의 금전 피해로 이어졌다는 점은 가볍게 보기 어렵다. 개인정보위가 단순 유출 인원보다 사고의 발생 구조와 실제 피해를 얼마나 무겁게 판단하느냐가 제재 수위를 가를 전망이다.
◆ 펨토셀 관리 부실이 핵심…사후 투자만으로 면책 어려워
KT에 불리한 대목은 통신망의 말단 설비인 펨토셀 관리 체계가 전반적으로 부실했다는 정부 조사 결과다.
민관합동조사단은 KT가 펨토셀 인증서와 제작 외주업체, 비정상 인터넷주소(IP) 접속, 제품 형상정보를 제대로 관리하지 못해 불법 장비가 내부망에 쉽게 접속할 수 있었다고 판단했다. 불법 펨토셀이 통신 트래픽을 가로채 제3의 장소로 전송할 수 있었고 일부 통신 과정에서는 문자와 음성통화 정보가 탈취될 위험도 확인됐다.
이는 외부 공격자의 범죄만으로 사고를 설명하기 어렵다는 의미다. 가입자 정보를 보호해야 할 기간통신사업자가 핵심 네트워크 장비의 인증과 접속통제 체계를 제대로 관리했는지가 개인정보 보호법상 안전조치 의무 위반 판단의 중심이 될 것으로 보인다.
KT가 사고 이후 피해액을 보상하고 유심 무상 교체, 펨토셀 접속 차단, 망 보안 강화 등을 시행한 점은 감경 요소가 될 수 있다. 정부 조사 결과에 따라 전체 이용자를 대상으로 위약금 없는 해지도 허용했다.
KT는 지난해 정보보호 분야에 1276억원을 투자했고 개인정보보호 자문위원회와 정보보호 자문위원회도 잇달아 출범시켰다. AI 기반 공격과 제로트러스트, 랜섬웨어 대응 등을 포함한 보안 거버넌스 강화에 나선 상태다.
투자액이 크다는 사실만으로 사고 당시의 책임이 사라지는 것은 아니다. 개인정보위가 살필 부분은 예산의 총액보다 사고 이전에 필요한 보호조치가 실제 작동했는지, 사고 이후 피해 확산을 막고 보호체계를 실질적으로 바꿨는지다.
한편 이번 처분은 피해자 수가 상대적으로 적으면 과징금도 작아지는지를 보여주는 사건이 아니다. 국가 기간통신망의 관리 부실로 식별정보가 범죄에 이용됐을 때 그 책임을 어떻게 산정할 것인지가 핵심이다. 개인정보위의 결론은 KT 한 기업의 비용을 넘어 통신사가 네트워크 보안을 어디까지 경영 책임으로 받아들여야 하는지를 가르는 기준이 될 전망이다.
Copyright © 경제일보, 무단전재·재배포 금지










