방통위 "KT 개인정보유출 법적 책임"... 피해 보상 '파란불'
'1170만건 유출' KT에 과징금 7천만 원 등 부과... 피해자 2800명 소송 제기
KT 개인정보유출 피해 보상에 '파란불'이 켜졌다. 정부가 지난 3월 홈페이지 해킹으로 고객 정보 1170만 건을 유출한 KT의 법적 책임을 인정했기 때문이다. 당장 경실련은 이날 피해자 2800명을 모아 1인당 100만 원씩 손해배상소송을 제기했다.
방통위 "KT가 기술적, 관리적 보호조치 못해 개인정보 유출"
방송통신위원회(위원장 최성준)는 26일 오후 개인정보를 대량 유출한 KT에게 과징금 7천만 원과 과태료 1500만 원을 부과하고 재발방지 조치 등 시정 명령을 내렸다. KT가 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)에 규정한 '기술적, 관리적 보호조치'를 제대로 이행하지 않아 개인정보 유출이 발생했다고 본 것이다.
KT는 지난해 8월부터 올해 2월까지 홈페이지를 해킹 당해 고객 개인정보 1170만8875건(981만8074명)을 유출했다. 여기에는 이용자 이름과 주민등록번호를 비롯해 휴대폰번호, 계좌번호, 카드번호 등 개인정보 12개 항목이 포함돼 있다.
방통위는 이날 "KT는 대량 개인정보를 보유하고 이용하는 기간통신사업자로서 이에 걸맞은 철저한 기술적, 관리적 보호 조치를 갖춰야 함에도 개인정보에 대한 불법적 접근을 차단하는 침입차단 시스템 등 접근통제장치와 개인정보를 안전하게 저장하고 전송할 수 있는 암호화 기술을 이용한 보안조치를 이행하지 않았다"고 과징금 부과 이유를 밝혔다.
해커의 표적이 된 KT '마이올레' 홈페이지의 경우 일단 로그인을 하면 별도 인증 과정 없이도 고객서비스 계약번호 9자리를 바꿔 입력하는 방식으로 타인의 개인정보를 조회할 수 있었고, 하루 최대 34만 건을 조회했음에도 이를 탐지하지 못했다. 이밖에 사내망을 통해서만 접근할 수 있는 '올레닷컴' 홈페이지 역시 이미 사용이 중지된 퇴직자 ID로 외부망에서 접근해 개인정보 8만여 건을 조회했는데도 이를 탐지하거나 차단하지 못했다.
또 해커가 사용한 '파라미터 변조'가 이미 널리 알려진 수법인 데다, 지난 2012년 7월 해킹 사고가 발생한 전력이 있어 충분히 대비할 수 있었다는 점도 감안했다고 밝혔다. 이같은 '접근 통제' 조치 위반의 경우 1억 원 이하의 과징금을 부과할 수 있지만 이번 사고의 경우 KT가 법 위반으로 얻는 직접적 이득이 없었다는 이유로 '매우 중대-중대-일반' 3단계 가운데 '중대'에 해당하는 과징금 7천만 원이 부과됐다.
아울러 올레닷컴 개인정보 전송과정과 유선계 데이터베이스에 개인정보를 저장하는 과정에 암호화 기술을 적용하지 않은 부분에 대해 과태료 1500만 원을 별도로 부과했다.
시민단체 '환영'- KT '유감'... 손해배상소송 영향 불가피
▲ 경제정의실천시민연합이 지난 3월 18일 오전 광화문 KT본사 앞에서 기자회견을 열고 "KT 개인정보 유출 피해자들을 모아 손해배상청구를 위한 공익소송을 제기하겠다"고 밝혔다. | |
ⓒ 김동환 |
당장 KT를 상대로 손해배상소송을 진행하고 있는 시민단체는 크게 반겼다. 경실련 소비자정의센터(대표 김성훈)는 이날 오전 광화문 KT사옥 앞에서 기자회견을 열고 KT를 상대로 손해배상청구소송을 제기했다. 이번 소송에는 1차로 KT 개인정보유출 피해자 2796명이 참여해 손해배상금이 1인당 100만 원씩 27억9600만 원에 이른다.
윤철한 경실련 소비자정의센터 팀장은 "방통위가 KT 책임을 인정하고 과징금과 과태료를 부과한 건 환영할 만한 일"이라면서 "이제 KT 스스로 잘못을 인정하고 소비자 피해보상대책과 위약금 없는 해지를 받아들이는 일만 남았다"고 밝혔다.
특히 윤 팀장은 "지금까지 개인정보를 유출한 기업들이 손해배상 책임에 변명으로 일관했고 법원도 이를 인정하는 분위기였는데 정부가 KT 책임을 인정해 법원에서 피해자들의 손해배상 요구를 받아들일 가능성이 높아졌다"고 반겼다.
아울러 경실련은 위약금 없이 해지를 요구하는 피해자 50여 명을 모아 KT에 해지 신청서를 제출했다. KT 이용약관에는 '회사의 귀책사유인 경우' 위약금 없이 계약을 해지할 수 있도록 돼 있는 데도 개인정보유출 피해자들에게 위약금을 부과해 왔기 때문이다. 경실련은 KT가 위약금 없는 해지를 거부할 경우 집단분쟁조정신청 및 소송을 제기할 예정이다(관련기사: '위약금'이 뭔지... 카드는 잘라도 KT는 못 자른다?).
KT는 2012년에도 전산망을 해킹 당해 873만 명의 개인정보를 유출했다. 하지만 당시 방통위는 KT의 기술적, 관리적 조치 위반과 해킹 사고의 인과 관계에 대한 판단은 내리지 않고 개인정보 제3자 제공시 제공 항목을 명확하게 표시하지 않은 점에 대해서만 관련 매출액 1/100에 해당하는 7억5천만 원 과징금을 부과했다(관련기사:873만 개인정보 털렸는데 과징금 달랑 7억5천만원?).
하지만 이번엔 달랐다. 이미 2004년, 2012년에 이어 KT에서만 대량개인정보유출사고가 세번째 발생한 데다, 개인정보유출 관련 기업 책임을 강화한 정보통신망법이 이미 통과됐기 때문이다.
지난 5월 개정된 정보통신망법이 시행되는 오는 12월부터는 개인정보 유출과 기업의 기술적, 관리적 보호 조치간 인과 관계가 없더라도 관련 매출액 3% 이하 과징금이 부과되고, 피해자 역시 구체적인 손해 입증 없이 최대 300만 원까지 손해 배상을 받을 수 있다.
KT는 이날 "그동안 관련 법령에서 정한 보안수준을 준수하고자 최선을 다했으나 전문 해커에 의해 고 객정보가 유출된 사고에 방통위가 법률 위반으로 과징금을 부과해 매우 당혹스럽고 유감스럽다"고 밝혔다.
이날 참고인으로 출석한 전인성 KT CR부문장(부사장)도 "현행 개인정보보호조치 기준은 의무 범위가 모호하고 결과론적 책임을 부과하고 있다"면서 "개인정보 해킹 방법이 너무 다양하고 고도화되는 환경에서 기준을 이행하지 않았다고 처벌하는 건 글로벌 환경과 차이가 있다"고 밝혔다.
이에 김재홍 방통위 상임위원은 "KT가 해킹 당했다지만 해킹 기술 수준이 높지 않았고 인증 체계이 없었다는 점에서 책임을 피할 수 없다"면서 "하루 최대 34만여 건을 조회했는데도 이상신호를 탐지 못한 것도 문제"라고 지적했다.