“KT 정보유출 책임 확실히 묻겠다”
방통위 “행정처벌 유예는 정확한 판결 위한 것”
방송통신위원회가 1000만 가입자의 이름과 전화번호, 주민등록번호는 물론 계좌번호, 카드정보 등 민감한 금융정보까지 유출시킨 KT에 대해 회사측 책임을 확실히 묻겠다는 의지를 보이고 있다. 정보유출 사고에 대해 방통위가기업의 법적 책임을 물은 사례는 처음이어서 향후 이용자 손해배상 소송 등에 큰 영향을 미칠 것으로 보인다.
22일 방통위 고위관계자는 "최근 방통위가 KT 정보유출 처벌을 유예했는데, 이는 보다 정확한 판결을 위한 것"이라며 "방통위는 KT의 기술적, 관리적 보호조치가 미흡해 이번 정보유출 사고에 대한 분명한 책임이 있다고 판단하고 있다"고 설명했다.
KT에서 정보를 빼낸 해커는 1년여 기간동안 이 회사 홈페이지의 이용대금 조회란에 고유숫자 9개를 무작위로 자동 입력시키는 프로그램을 이용해 가입자 정보를 빼냈다. 특히 미래창조과학부가 KT 해킹사건에 대해 조사한 결과에 따르면 해커는 3개월간 약 1266만번 접속한 기록(로그)을 남겼을 정도로 빈번하게 시스템에 접속해 고객 정보를 빼냈지만 KT 시스템은 이를 감지조차 하지 못했다.
방통위 고위관계자는 "해커가 로그인을 한 후 타 고객 정보를 빼내기 위해 9자리 숫자를 입력하는 과정에서 단 한번의 본인확인 과정만 있어도 이 정도의 정보유출은 있지 않았을 것"이라면서 "이런 측면에서 정보통신망법 상 KT의 기술적, 관리적 보호조치가 미흡했으며 이로 인한 해킹이 일어난 `인과관계'가 성립한다고 본다"고 설명했다.
경찰도 이번 정보유출이 KT에도 책임이 있다는 점을 분명히 하고 있다. 조성인 인천경찰청 광역수사대 강력2반장은 "이용대금 명세서에 기재된 고유번호 9자리만으로 고객의 정보를 확인할 수 있는 보안시스템을 KT가 운영하고 있었다"면서 "(KT의)고객정보 관리 소홀 부분이 확인됐으며 만약 경찰이 이들을 검거하지 않았다면 (KT에서 빼낸 정보를 활용해)증권사, 인터넷 게임사 등의 가입자에게 추가 피해를 줄 수도 있었던 사안"이라고 설명했다.
이에 대해 KT는 대형 로펌 김앤장을 선임해 적극적인 방어에 나서고 있다. KT 측은 "정보유출 피해 고객들께 죄송한 마음을 갖고 있지만, KT는 정보통신망법에서 규정한 기술적, 관리적 조치를 모두 이행해 실질적인 책임은 없는 상황"이라고 선을 긋고 있다. KT 관계자는 "아무리 보안 투자를 강화해도 해커에 의한 공격을 100% 막을 수는 없다는 것이 보안 전문가들의 일치된 의견"이라면서 "이를 규제당국이 이해하지 않고 기업에 과도하게 책임을 지우는 것은 기업 활동과 산업을 위축시키는 일"이라고 항변했다.
방통위가 KT의 책임을 분명히 묻는다 하더라도 현행법상 KT가 받게 되는 처벌은 1억원 상당에 불과하다. 관련 매출액에 따른 벌금 역시 최대 3억원 정도에 불과할 전망이다.
그러나 방통위는 실제 처벌 수위보다도 `정보 유출 기업에 대한 책임'을 물었다는 사실 자체가시장에서 의미 있게 작용할 것으로 기대하고 있다. 이 고위 관계자는 "사실 그간 방통위는 옥션이나 SK커뮤니케이션즈 등 정통망법 관할 기업들이 대형 정보유출 사고를 일으켰어도 이에 대한 기업의 책임을 인정한 적은 없었다"며 "이번에 KT에 대한 정보유출 책임을 묻는 것이 첫 사례가 될 전망인데, 이를 근거로 향후 민사소송에서도 피해자들이 유리한 입지를 점하게 될 것"이라고 설명했다.
이미 참여연대 등 시민단체는 KT의 정보유출에 대한 손해배상 집단소송을 제기한 상태다. 만약 KT의 정보유출 책임이 인정된다면 더 많은 집단 소송으로 번질 수 있다.
방통위는 이달 내 KT에 대한 최종 처분을 결정할 계획이다.