최장혁 부위원장 "엄중한 책임 물을 것"

최장혁 개인정보보호위원회 부위원장이 29일 오후 서울 종로구 정부서울청사에서 주재한 정례브리핑에서 발언하고 있다./사진제공=개인정보보호위원회

개인정보보호위원회가 SK텔레콤 해킹사고에 대한 송곳 조사를 예고했다. 2023년 과징금 68억원을 부과하는 데 그친 LG유플러스 사고와는 전개양상과 적용법령이 모두 다르다는 입장이다.

최장혁 개인정보위 부위원장은 29일 오후 서울 종로구 정부서울청사에서 주재한 정례브리핑에서 "위원회는 개인정보 유출사고에 대해 글로벌 기업, 국내기업 가리지 않고 엄중한 책임을 물을 생각"이라고 말했다.

개인정보위는 '집중조사 태스크포스(TF)'를 꾸린 상태다. 최 부위원장은 "이례적으로 유출신고 당일 곧바로 조사에 착수했다"며 "소속 변호사를 포함한 베테랑 조사관, 외부전문가를 투입했다. 최대한 빠른 시일 내에 조사를 마칠 것"이라고 밝혔다.

최 부위원장은 또 "조사가 시작 단계여서 과징금 규모를 논하긴 이르다"면서도 "SK텔레콤 사고는 LG유플러스 사고와 차원이 다르다"고 짚었다. LG유플러스 사고는 부가서비스 시스템에 발생한 공격으로 개인정보가 유출됐지만, SK텔레콤 사고는 메인서버가 피해를 입은 사안이라는 설명이다.

메인서버에 발생한 해킹사고가 아니라는 SK텔레콤의 주장에 대해 최 부위원장은 "왜 부정했는지 모르겠지만, 메인서버에서 유출이 있었다고 보는 게 맞을 것"이라고 맞받았다.

유출된 개인정보 항목·규모와 SK텔레콤의 사고 인지시점에 대해선 말을 아꼈지만, 개인정보보호법 위반을 의심할 개연성이 충분하다는 입장을 냈다. 최 부위원장은 "유심(USIM)의 개인정보성과 유심정보를 보관한 서버에 적절한 안전조치가 이뤄졌는지를 중점적으로 보고 있다"고 밝혔다.

최 부위원장은 "나날이 발전하는 해킹기술에 비해 개인정보 보호를 위한 투자와 전문인력 확보는 눈에 띄는 변화가 없다"며 "민간·공공의 투자·인력 보강이 절실한 시점"이라고 밝혔다.

과징금이 개인정보 유출 피해자에게 도움을 주지 못한다는 지적에 대해선 "징수액을 기금에 출연하는 방식이 있을텐데, 선순환 구조를 만들 수 있을지 당국과 협의하겠다"고 했다.

개인정보위의 조사절차는 SK텔레콤의 책임범위를 가를 변수로 주목받는다. 먼저 개인정보위는 SK텔레콤이 사고 이전 안전조치 의무 등 법령상 규정사항을 준수했는지를 확인하고, 중대한 법규위반을 발견하면 과징금을 부과할 방침이다.

2023년 9월 시행된 개정 개인정보보호법은 법규위반 사업자가 부과받을 수 있는 과징금의 상한선을 '전체 매출액의 3%'로 규정한다. 개정 전 상한선이 '위반행위 관련 매출액의 3%'에 그친 데 비해 크게 상향된 셈이다.

SK텔레콤의 지난해 연결 기준 매출액은 17조9849억원에 달했다. 개인정보위는 통상 여러 차례의 감경절차를 거쳐 과징금 최종 부과액을 산출하지만, 업계에선 매출규모를 감안하면 이론상 수천억원대 과징금이 부과될 수 있다는 전망이 나온다.

이정은 개인정보위 조사2과장은 "현재까지 SK텔레콤발 개인정보가 다크웹에 유통된 사실은 확인된 바 없다"며 "한국인터넷진흥원(KISA) 등과 감시 체계를 운영 중"이라고 밝혔다.

성시호 기자 shsung@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지