[더팩트ㅣ최문정 기자] 지난해 대규모 개인정보 유출 사고를 일으킨 KT에 정부의 과징금 처분이 임박해 업계의 이목이 쏠리고 있다. 최근 SK텔레콤과 쿠팡에 개인정보 유출로 인해 대규모 과징금이 잇따라 부과된 데다, KT는 해킹 은폐 의혹과 실제 금전 피해까지 발생한 만큼 강도 높은 제재를 피하기 어려울 것이란 전망이 나온다.
14일 관련업계에 따르면, 개인정보보호위원회(개보위)는 이르면 이번주 열리는 전체 회의에서 KT 과징금 처분에 대해 논의할 전망이다. 전체회의 날짜는 아직 결정되지 않았지만, 늦어도 8월 내에 과징금 처분이 완료될 전망이다.
손경희 개보위원장은 지난달 브리핑을 통해 "KT 처분에 대해 사전 통지를 마쳤고, 의견을 제출받아 검토 중"이라며 "머지않은 시점에 처분을 내릴 것"이라고 밝힌 바 있다.
앞서 KT는 지난해 9월 불법 초소형 기지국(펨토셀)을 통한 해킹으로 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호 등 고객 개인정보 2만2227건이 유출되는 사고를 냈다. 이 과정에서 고객 368명의 정보가 무단으로 도용돼 총 2억4300만원이 소액결제되는 사고도 있었다.
과학기술정보통신부 등 주무부처의 조사 결과, KT는 해킹 사실 인지까지 11개월이 걸렸고, 공격에 활용된 악성 코드를 장기간 방치하는 등 보안 관련 조치에 미흡했던 것으로 나타났다. 아울러 과기정통부 민관합동조사단은 KT는 2024년 3월부터 7월까지 보안에 영향을 줄 수 있는 중대한 악성코드에 감염된 서버 43대를 발견하고도 자체 폐기했다고 판단해 조사를 진행한 뒤, 경찰에 수사를 의뢰했다.
정부는 위반 행위의 중대성과 이후 사고 수습 과정 등을 종합적으로 검토해 과징금 규모를 산정할 전망이다. 개보위가 최근 대형 개인정보 유출 사건에 대해 강경한 기조를 이어가고 있다. 국회에서도 중대 과실로 개인정보 유출이 발생할 경우, 전체 매출의 최대 10%까지 과징금을 부과할 수 있도록 개인정보보호법을 개정했다. 이 법은 오는 9월부터 시행 예정인 만큼, KT의 사례에는 적용되지 않지만, 개인정보 유출을 심각하게 바라보는 기조는 유지됐다는 평가다.
실제로 개보위는 앞서 쿠팡과 SK텔레콤에 각각 6246억8100만원과 1348억원이라는 대규모 과징금을 부과한 바 있다.
KT의 과징금 규모는 사건과 관련된 매출을 기준으로 산정된다. 따라서 최근 3년간 KT의 무선 사업 매출 평균인 6조9000억원을 기준으로 전체 규모가 확정될 예정이다. 현행법상 법정 상한 비율은 3%로 정해져 있는데, 이를 적용하면 최대 과징금 규모는 2000억원 안팎까지 가능하다는 분석이다.
한 업계 관계자는 "지난해 다양한 업종에서 대규모 개인정보 유출 사태가 일어나 사회적인 물의를 일으킨 만큼, 제재 기준 역시 강화되고 있어 KT 역시 상당한 수준의 과징금이 예상된다"고 분석했다.
한편, KT는 '제로트러스트' 원칙에 따라 전사 보안 체계를 새로 짠다는 목표다. 이를 위해 정보보안과 IT 혁신 분야에 앞으로 3년간 총 4조원의 재원을 투입한다는 목표다. 아울러 기존엔 분산돼 운영되던 보안 기능을 정보보안실로 통합하고, 이상운 정보보안실장(CSIO) 등 정보보호 전담 인력 317명을 확보했다. 아울러 올해 개인정보보호 위원회와 정보보호위원회를 각각 출범시키며 상시 예방과 선제 대응 중심의 보안 거버넌스를 구축하고 있다.
jay09@tf.co.kr