1350억원 과징금 적정성 논란 피해 0건…잠재적 피해도 차단 제재 불균형…형평성 문제 도마

SK텔레콤이 유심 해킹 사태로 역대 최대 규모인 약 1350억원의 과징금 ‘폭탄’을 맞은 가운데, 과징금 규모를 놓고 후폭풍이 거세지고 있다.

SKT는 개인 정보보호에 만전을 기울이겠다는 방침에는 변함이 없지만, 소명한 내용이 제재 결과에 충분히 반영되지 않았다는 판단이다. 특히 해킹으로 인한 추가 피해가 한 건도 발생하지 않은 점, 과징금 부과 형평성 등이 도마에 올렸다.

28일 SKT는 개인정보보호위원회의 제재 통보와 관련해 “조사와 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 “향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 예정”이라고 언급했다.

업계에서는 무엇보다 해킹으로 인한 실제 피해 사례가 0건이라는 점을 고려할 때, 과징금 규모가 과하다는 목소리가 나온다. 현재까지 SKT 유심 해킹으로 인한 직·간접적 고객 피해 사례는 보고되지 않았다. SKT가 사고 직후 유심 무상교체, 유심 보호 서비스 등을 통해 잠재적 피해를 사전에 차단한 점도 충분히 고려돼야 한다는 분석이다.

이와 함께 타사의 과징금 제재 사례와 비교해 과징금 수준이 적정했는지, 형평성 논란도 쟁점이 될 것으로 보인다.

과거 SGI서울보증보험의 해킹 사고 시, 13.2TB의 개인정보가 탈취됐지만 신용정보법은 개인신용정보 유출 시 과징금 상한을 50억원으로 규정하고 있다. 상대적으로 중요도와 민감도가 높은 개인신용정보가 유출돼도 과징금이 최대 50억원에 그쳤던 점을 고려할 때, 유심 정보 유출로 1350억원에 달하는 과징금을 부과하는 것이 적절한 지 지적이 제기된다.

기존까지 개인정보보호법 위반으로 최대 과징금을 부과받은 사업자는 구글이다. 구글은 영리 목적으로, 이용자 동의 없이 고객 정보를 맞춤형 광고에 활용해 692억원의 과징금을 부과 받은 바 있다. 해킹을 당해 개인정보가 유출된 사업자를 영리 목적으로 개인정보를 동의 없이 활용한 사업자보다 무겁게 제재하는 것은 불합리하다는 지적 역시 형평성 논란을 키우고 있다.

더 나아가 국가 차원의 대비가 필요한 해킹 사고에서 개별 기업에게 책임을 전가하는 것으로 비춰질 수 있다는 점도 논란의 여지를 남겼다. 이번 해킹은 고도화된 해킹기법인 APT 공격의 특성을 보인다. 이는 현존하는 기존의 보안 설루션이나 기술로는 탐지나 대응이 쉽지 않다는 평가가 적지 않다.

최근 고려대 정보보호대학원 주최 해킹 관련 세미나에서는 APT 공격이 현행 기술로 대응이 어려운 국가 차원에서 수행되는 고도화된 공격이라고 규정했다. 이로 인한 정보 유출 책임을 전적으로 기업에 귀속시키기 보다는 국가차원의 방어 체계를 구축하는 게 중요하다는 의견이 개진되기도 했다. 박세정 기자