SK텔레콤이 개인정보보호위원회로부터 지난 4월 발생한 해킹 사건에 대해 1347억9100만원의 과징금과 960만원의 과태료 처분을 받았다. 사진은 고학수(가운데) 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 관련 브리핑을 열고 SK텔레콤에 대한 제재안을 발표하던 모습. /사진=뉴스1


SK텔레콤이 지난 4월 발생한 대규모 고객 유심(USIM)해킹 사건으로 개인정보보호위원회로부터 1347억9100만원의 과징금과 960만원의 과태료 처분을 받았다. 개인정보위 출범 이후 최대 규모의 제재다.


업계 안팎에서는 '비례의 원칙'에 어긋난 제재라는 지적이 제기된다. 과거 구글·메타가 이용자 동의 없이 개인정보를 영리 목적으로 맞춤형 광고에 활용해 받은 과징금보다 훨씬 큰 금액이 책정됐기 때문이다. 이번 사건의 경우 해킹으로 인한 2차 피해가 확인되지 않았다는 점에서 과징금이 지나치게 과도하다는 비판도 나온다.

고학수 개인정보위 위원장은 28일 정부서울청사 열린 브리핑을 통해 "제18회 전체회의를 열고 지난 4월 개인정보 유출 사고를 일으킨 SK텔레콤에 대해 안전조치 의무 및 유출 통지 위반으로 과징금 1347억9100만원과 과태료 960만원을 부과했다"고 발표했다.


개인정보위는 휴대전화번호와 IMSI(가입자 식별번호), 유심 인증키 등 2345만여명의 개인정보 25종이 유출된 사실을 근거로 제재를 내렸다. SK텔레콤이 해커의 접근 통제를 소홀히 하고 접근권한 관리와 보안 업데이트 등 기본 조치를 제대로 취하지 않았다는 점이 위반 사유로 지적됐다. 유심 인증키를 암호화하지 않고 평문으로 저장한 것도 제재 근거에 포함됐다.

SK텔레콤은 이번 결정에 대해 자신들의 조치가 충분히 반영되지 않았다는 입장이다. SK텔레콤은"이번 결과에 무거운 책임감을 느끼며 앞으로 모든 경영활동에서 개인정보 보호를 핵심 가치로 삼아 고객 정보 보호 강화에 최선을 다하겠다"라면서도 "조사와 의결 과정에서 당사의 조치 사항과 입장이 충분히 반영되지 않은 점은 유감이다"며 아쉬움을 표했다.


회사는 향후 의결서를 수령한 뒤 내용을 면밀히 검토해 최종 입장을 정리할 계획이다.

실제로 이번 과징금 규모는 과거 구글(692억원), 메타(308억원), 카카오(151억원)에 부과된 금액을 크게 웃돈다. 업계에서는 구글·메타가 이용자 동의 없이 개인정보를 영리 목적으로 활용해 맞춤형 광고에 사용한 행위보다 해킹으로 인한 정보 유출에 훨씬 더 무거운 과징금이 내려진 점을 두고 '비례의 원칙'에 어긋난 제재라는 지적을 제기한다.


이번 해킹은 APT(지능형 지속 위협) 방식으로 이뤄져 현재 상용화된 보안 기술만으로는 탐지나 대응이 쉽지 않았다는 점도 강조한다.

이 같은 배경에는 구글·메타 제재 이후 이뤄진 개인정보보호법 개정도 영향을 미쳤다. 과징금 상한이 기존 '위반 행위와 직접 관련된 매출의 최대 3%'에서 '전체 매출의 3%'로 대폭 확대된 것이다. 그럼에도 업계에서는 '고의적인 영리 목적의 위반보다 외부 공격에 따른 유출에 더 큰 책임을 묻는 것이 과연 타당한가'라는 의문을 제기한다.
개인정보위는 SKㅔㄹ레콤의의 여러 노력들을 감안해 과징금을 일부 감경했다고 설명한다. 사진은 대규모 고객 유심(USIM) 정보 유출 사고가 발생한 SK텔레콤에 대한 과징금 처분이 내려진 28일 서울 도심의 SK텔레콤 대리점 앞에서 한 시민이 전화 통화를 하던 모습. /사진=뉴스1


개인정보위는 회사의 여러 노력들을 감안해 과징금을 일부 감경했다는 입장이다. 고 개인정보위원장은 "회사가 어떤 식으로 시정조치를 취했는지, 피해 보상을 위해서 어떤 노력을 했는지 등을 고려해 최종 액수가 정해졌다"고 설명했다.

SK텔레콤은 향후 행정소송 절차에 나설 가능성이 크다. 쟁점은 개인정보 인정 범위다. 이번에 유출된 IMSI를 핵심 정보로 볼 것인지 여부가 향후 법적 다툼에서 논란이 될 수 있다.

고 위원장은 IMSI 등 유심 정보가 개인정보에 해당하는지와 관련해 "지금 시대에 개인이 외부와 소통함에 있어서 가장 핵심적인 정보라고 할 만한 정보(유심 정보)가 유출됐기 때문에 너무 당연히 개인정보라고 판단했다"고 말했다.

학계에서는 이번 사건을 두고 "해킹으로 인한 2차 피해가 확인되지 않았음에도 과징금 규모가 지나치게 과도하다"는 비판을 내놓는다. 징벌적 과징금 부과보다는 재발 방지 중심의 규제로 전환할 필요가 있다는 주장이다.

한국정보보호산업협회(KISIA)에 따르면 지난해 정보 침해사고를 경험한 기업 가운데 관련 기관에 이를 신고한 비율은 19.6%에 불과했다.

기업에만 과도한 책임을 묻는 방식은 오히려 해킹 사고를 숨기게 만드는 역효과를 낳을 수 있다는 지적도 나온다. 실제로 영국은 개인정보 유출 사실을 신속히 보고하고 보완 조치를 취한 기업에 대해서는 과징금을 최대 90%까지 감경하는 제도를 운영한다.

일각에서는 최근 정부의 기조가 '엄벌 만능주의, 제재 만능주의'로 흐르고 있다는 점을 꼬집었다.

정진우 서울과학기술대학교 교수는 "과징금은 책임주의 원칙에 따라 위반 정도와 책임에 비례해야 하는데 행정기관이 이를 충분히 따지지 않고 고액의 과징금을 남발할 소지가 크다"며 "이번 SK텔레콤 사례 역시 기존 판례나 다른 사례와 비교했을 때 형평성 논란이 있을 수 있다"고 지적했다.

이어 "현 정부 들어 안전 분야뿐 아니라 공정거래, 금융 등 여러 규제 영역에서 '엄벌=정의'라는 식의 신념이 확산되고 있다"며 "실질적 안전 대책이나 예방보다 제재를 강화하는 데만 집중한다면 결국 소송으로 비화되거나 기업 현장의 불신만 키우게 될 것"이라고 우려했다.