12.08.21 11:19l최종 업데이트 12.08.21 11:48l 김시연(staright)
▲ 표현명 KT 개인고객부문 사장과 송정희 부사장이 10일 오전 KT 광화문 사옥에서 해킹 방지 대책을 발표하기에 앞서 870만 고객 개인 정보를 유출한 데 대해 머리 숙여 사과하고 있다.
ⓒ 김시연
870만 고객 개인정보 유출 사실을 알고도 '면죄부 인증'을 받은 KT가 결국 철퇴를 받았다.
방송통신위원회와 한국인터넷진흥원(KISA)은 21일 지난달 KT에게 교부한 PIMS 인증을 취소하기로 했다고 밝혔다. 표면적으로 인증 과정에서 허위 자료를 제출했다는 이유지만 지난달 발생한 해킹 사고 '늑장 신고'도 감안한 것으로 알려졌다. 지금까지 KISA에서 개인정보보호 관련 인증을 받았다 박탈당한 기업은 KT가 처음이다.
개인정보보호 인증 취소 첫 사례... KT '당혹'
KISA 관계자는 21일 "지난 17일 인증위원회를 열어 KT 인증을 취소하기로 결정했다"면서 "오늘 중으로 KT에 통보할 예정"이라고 밝혔다. 다만 구체적인 인증 취소 사유는 경찰 조사에도 영향을 미칠 수 있다는 이유로 공개하지 않았다.
방통위 관계자는 "인증 심사를 받을 때 KT가 제출한 입증 자료 가운데 사실과 다른 게 몇 가지 확인됐다"면서 "기술적 항목이 문제가 됐지만 해킹 사고를 알고도 인증서를 받은 점도 감안한 걸로 알고 있다"고 밝혔다.
앞서 KISA는 지난 9일 KT가 지난달 18일 해킹 사고를 숨긴 채 PIMS 인증을 받았다는 <오마이뉴스> 단독 보도와 관련, 인증 취소 절차에 착수했다.(관련기사: 870만 개인정보 털린 KT에 방통위 '면죄부' 인증 )
KT가 내부적으로 해킹 사고를 인지하고 경찰에 신고한 시점은 지난달 13일이었지만 KISA와 방통위에는 5일이나 늦은 18일 통보했다. 결국 KISA는 같은 날 해킹 사실을 모른 채 KT에 인증서를 전달했다.
당시 KISA 관계자는 "KT가 인증 과정에서 해킹 사고 발생 사실을 의도적으로 숨긴 것으로 보고 있다"면서 "거짓이나 허위로 인증을 취득했거나 인증 기준을 준수하지 않은 게 밝혀지면 인증 취소가 가능하다"고 밝히기도 했다.
하지만 KT는 PIMS 인증과 해킹 사고의 무관함을 주장해온 만큼 반발도 예상된다. 다만 KT 관계자는 "아직 KISA에서 아무런 통보를 받지 못했다"며 입장 발표를 유보했다. 앞서 KT그룹 정보관리 책임자인 송정희 KT 부사장은 지난 10일 재발 방지 대책을 발표하는 자리에서 "이미 지난 3월에 (인증 심사를) 받았던 것"이라면서 "이번 일과는 상관이 없다"고 밝혔다.
PIMS 인증은 지난 2010년 기업들의 개인정보 대량 유출 사고를 방지할 목적으로 도입됐다. 하지만 방통위는 PIMS 인증 기업에서 개인정보 유출 사고 발생 시 과징금을 50%까지 감면해줘 '면죄부 인증'이란 지적을 받고 있다.