KT 펨토셀 해킹 사고에 대한 개인정보보호위원회의 과징금 제재 처분이 이르면 내달 가시화될 전망이다. 관건은 과징금 규모다. 실질 피해가 발생했다는 점에서 중대성이 크지만, 침해 영역이 특수해 전체 매출을 기준으로 삼기에는 무리가 있다는 분석이 엇갈린다. 과징금은 수백억원대를 상회할 것으로 예상 되는 가운데, 업계는 규모에 촉각을 곤두세우고 있다.
20일 통신업계와 법조계에 따르면 개인정보위는 KT 개인정보 유출 사고에 대한 조사 절차를 상당 부분 마무리하고 법리 검토 및 제재 수위 조율에 들어갔다.
개보위는 앞서 민관합동조사단 조사 결과가 나온 만큼 개인정보보호법상 위반 행위에 따른 과징금 부과 처분을 검토 중이다. KT 제재 수위를 놓고 여러 쟁점이 변수로 작용할 전망이다.
우선 이번 사고는 매우 중대한 위반행위로 분류될 가능성이 높다. 단순 정보유출에 그치지 않고 해킹된 정보를 악용한 무단 소액결제 등 실제 금전 피해가 발생했기 때문이다. 이는 과징금 산정시 가중요소로 작용할 수 있다.
다만 과징금 산정 기준액을 두고는 치열한 법리 공방이 예상된다. 현행법상 과징금 상한은 위반행위와 관련된 직전 3개 사업연도 평균 매출액의 3%다. 이를 10%까지 상향하는 안이 추진 중이지만 이번 사례에는 소급 적용되지 않는다.
문제는 과징금 산정 기준이 되는 위반행위 관련 '매출액'을 어디까지로 볼 것인가다. KT 측은 전체 매출이 아닌 펨토셀 유출과 직접 관련된 음성·문자 등 특정 서비스 매출로 기준을 한정해야 한다는 논리를 펼치는 것으로 알려졌다. 합조단 조사에서 확인된 유출 피해자는 펨토셀 내부망 침투로 유출된 2만2777명이다. 서버는 94대가 악성코드에 감염됐지만 개인정보 유출 여부는 확인되지 않았다. 이는 앞서 1348억원의 과징금을 부과받은 SK텔레콤 사례와 양상이 다르다. SK텔레콤 경우 가입자 약 2300만명의 유심정보 유출이 특정돼 매출 산정에 활용됐다. 이를 근거로 KT의 관련 매출액을 좁게 해석하면 과징금 산정 기준액 자체가 대폭 줄어든다.
다만, 망 자체에서 단말과 코어망 간 종단 암호화가 되지 않아 평문의 문자·통화내용이 탈취 위험에 노출됐다는 점은 KT 입장에선 불리한 요소다.
법조계 일각에서는 KT에 대해 산정 기준액은 적게 잡되, 실질금전 피해가 발생한 점을 들어 감경폭을 최소화하는 방식이 거론된다.
한 법무법인 관계자는 “KT는 침해 발생 영역이 특수해 전체 매출을 기준으로 잡기에는 정부로서도 부담이 클 것”이라고 내다봤다. 그러면서 “유출 규모는 SK텔레콤보다 작은 반면, 실질 피해가 발생했다는 점에서 과징금 규모를 정함에 있어 둘 중에 어디에 가중 또는 감경요소를 둘 것인지가 변수”라고 짚었다.
다른 한편으론, 정부가 섣불리 과징금 규모를 낮추기 어려울 것이란 관측이 존재한다. 자칫 솜방망이 처분이라는 지적이 일 경우 제재 수위를 높이고 있는 쿠팡 등과 비교해 국내외 기업간 형평성 논란이 불거질 수 있기 때문이다.
개인정보위 관계자는 “합조단 조사와 별개로 개인정보보호법상 안전조치의무 위반 사항이 있는지 별도 판단이 필요한 부분”이라며 “현재 해당 내용에 대한 조사가 진행 중에 있다”고 말했다.
박준호 기자 junho@etnews.com
