개인정보위, SKT 역대 최대 규모 과징금 1348억원 부과개인정보 불법 이용 구글은 692억원, LGU+은 68억에 불과징벌적 과징금 부과가 해킹 신고 위축 시킬 수 있단 우려도
  • ▲ ⓒSK텔레콤
    ▲ ⓒSK텔레콤
    개인정보보호위원회가 SK텔레콤의 개인정보 유출에 대해 역대 최대 규모의 과징금인 1348억원을 부과하면서 형평성 논란이 일고 있다. SKT 가입자 대부분의 유심 정보가 유출된 특수성을 감안하더라도 비슷한 다른 유형의 개인정보 유출 사고와 과징금 규모가 크게 차이난다는 이유에서다.

    무엇보다 해킹이라는 사안의 특수성을 정부가 징계 일변도로 나서면서 오히려 기업의 신고를 위축시킬 수 있다는 우려까지 나온다.

    개인정보위는 지난 27일 전체회의에서 SKT의 개인정보 유출과 관련 과징금 1347억9100만원과 과태료 960만원을 부과하고 재발 방지를 위한 시정조치를 의결했다고 28일 밝혔다. 이번 과징금 규모는 개인정보위 사상 최대 규모다. 

    이번 사건은 SKT가 지난 4월 해킹 사건으로 LTE·5G 서비스 전체 이용자 2324만4649명에 대한 전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보를 유출하면서 비롯됐다. 

    이번 개인정보위의 처분에 대한 형평성 논란은 적지 않다. 직전까지 최대 과징금 사례로 꼽히던 구글은 고객의 동의 없는 개인정보를 상업적 광고에 활용한 것이 문제가 된 케이스다. 당시 구글이 부과받은 과징금은 692억원 규모. 고의성 없는 해킹 피해자라 할 수 있는 SKT가 구글 이상의 과징금을 받는 것이 적절하냐는 지적이 나온다.

    불과 2년 전인 LG유플러스의 사례도 함께 거론된다. LG유플러스는 2023년 IMSI, IMEI, USIM 고유번호 등이 유출됐지만, 전체 이동통신 매출이 아닌 실제로 정보가 유출된 시스템(CAS; 고객인증시스템)과 관련 서비스 매출 기준 68억원의 과징금만 부과됐다.

    지난달의 SGI서울보증보험 해킹 사고에서는 13.2TB의 개인정보가 탈취됐다는 주장이 제기되기도 했다. 이것이 사실로 드러나더라도 신용정보법에서는 개인신용정보 유출시 과징금 상한선인 50억원으로 제한하고 있어서 제재 규모는 SKT와 비교해 터무니없이 낮을 전망이다. 개인이 특정되지 않는 유심정보보다 민감도가 더 높은 신용정보의 유출 과징금이 더 낮다는 이야기다. 

    무엇보다 SKT는 개인정보 유출에 따른 2차 피해가 0건인 상황. 형평성 논란이 지속적으로 나올 수밖에 없는 이유다. 

    ICT업계에서는 징벌적 과징금 보다 재발방지를 위한 규제 패러다임 전환이 필요하다는 목소리도 나온다. 

    대표적인 것이 징벌적 과징금이 기업의 신고와 정보 공유를 위축시킬 수 있다는 우려다. KISIA에 따르면 지난해 침해사고를 경험한 기업 중 신고 비율은 19.6%에 불과하다. 기업에만 책임을 묻는 과도한 제재가 오히려 해킹사고를 쉬쉬하게 만드는 역효과를 발생시킨다는 지적이다.

    실제 해외의 경우와 비교해도 SKT의 과징금은 전례가 없다. 미국에서 T-Mobile은 216억원, AT&T는 178억원의 제재를 받았고 일본 NTT니시니혼은 아예 금전적 제재를 받지 않았다. 

    김승주 고려대학교 정보보호대학원 교수는 이날 SNS에 “과징금을 부과하지 말라는 것이 아니라, 그 규모가 타당한지 여부는 반드시 따져봐야 할 것”이라며 “영리 목적으로 이용자 동의 없이 수집한 개인정보를 활용한 경우보다 해킹 피해 기업에 이를 넘어서는 과징금을 부과하는 것이 과연 옳은가”라고 반문했다.