보안

KT 개인정보유출, 기술·관리조치 미흡 탓

채수웅

- 방통위, 과징금 7000만원 과태료 1500만원 및 시정명령 부과

- KT "전문해커에 의한 유출…법률위반 판단 유감"

[디지털데일리 채수웅기자] KT의 개인정보 누출이 기술적, 관리적 보호조치 미비에 따른 것으로 인정됐다. KT는 기술적, 관리적 조치와 개인정보 유출은 인과관계가 없다고 주장했지만 받아들여지지 않았다.

방송통신위원회(위원장 최성준)는 26일 전체회의를 열고 기술적·관리적 보호조치 미비 등 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)을 위반한 KT에 과징금 7000만원, 과태료 1500만원과 재발방지를 위한 기술적·관리적 보호조치를 수립·시행토록 하는 시정명령 등을 부과하기로 의결했다.

지난 3월 6일 경찰이 KT 홈페이지의 개인정보 누출 사건을 발표한 직후, 방통위는 민관합동조사단을 구성해 조사해왔다. 그 결과 KT는 2013년 8월부터 올해 2월까지 1170만 8875건(이용자 981만8074명)의 이름·주민등록번호 등 12개 항목의 개인정보가 누출된 것으로 확인됐다.

방통위는 KT가 접근 통제장치의 설치·운영(제28조제1항제2호), 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치(제4호)를 이행하지 않은 것으로 판단했다.

특히, 방통위는 ▲이용자 본인 일치여부 인증절차가 미흡하고 외부의 권한없는 자의 접근을 차단 및 통제하지 못한 점 ▲해커가 사용한 수법이 이미 널리 알려진 방식(파라미터 변조)인 점 ▲해킹사고 전력 등을 고려할 때, 기술적·관리적 보호조치 미비로 인해 개인정보가 누출된 것으로 보았다.

이달 19일 열렸던 방통위 전체회의에서 KT는 변호사를 앞세워 "기술적인 관점에서 취약점이 있었지만 합리적인 노력이 있었기 때문에 이를 고려해야 한다"고 주장했다.

또한 "비록 일부 미흡하더라도 개인정보 유출과 인과관게가 없다. 행정처분을 하면 안된다"는 것이 KT의 입장이었다.

KT의 주장으로 당시 방통위는 다시 한 번 내용을 파악, 논의하기로 결정하고 처분을 유보하고 26일 다시 전체회의를 열었다.

다시 재검토가 이뤄졌지만 바뀐 것은 없었다.

방통위는 단순 타인 개인정보조회는 누출에 해당하지 않는다는 KT 주장에 대해 "개인정보 누출은 해당 정보의 탈취 복사 저장 뿐만 아니라 권한 없는 자 또는 권한을 넘어선 단순조회도 해당된다"며 "해커가 조회한 내용을 불법TM에 활용했다고 경찰에 진술한 것으로 볼 때 개인정보 누출이 확실하다"고 설명했다.

최성준 방통위원장은 "개인정보 누출에 대한 사업자의 책임을 인정하는 이번 행정처분을 통해 국민들의 개인정보를 대규모로 취급하는 사업자들에게 경종을 울리는 계기가 되길 기대한다"고 말했다.

방통위의 처분에 대해 KT는 유감을 표명했다.

KT는 "그 동안 관련 법령에서 정한 보안수준을 준수하고자 최선을 다했지만 전문해커에 의해 고객정보가 유출된 사고에 대해 방통위가 법률위반으로 과징금을 부과한 것과 관련해 매우 당혹스럽고 유감스럽다"고 밝혔다.

이어 KT는 "방통위 심결 여부에 관계없이 고객정보가 유출된 점에 대해서 다시 한번 사과한다"며 "해킹기술의 지능화 및 고도화에 맞춰 한 단계 격상된 보안체계를 목표로 종합대책을 마련해 실행할 것"이라고 덧붙였다.

한편, 앞으로 발생하는 개인정보 누출 사고에 대해서는 한층 강화된 제재가 부과될 것으로 예상된다. 개인정보 누출로 인해 국민들이 입는 불편과 피해에 비해 제재수준이 너무 낮다는 지적에 따라, 올해 12월부터는 기술적·관리적 보호조치와 개인정보 유출간의 인과관계가 없더라도 관련 매출액의 3%이하 과징금을 사업자에게 부과하도록 개정된 정보통신망법이 시행될 예정이다.

또한, 이용자의 구체적인 손해 입증 없이도 최대 300만원의 손해배상액을 지급하는 법정 손해배상제도도 도입된다.

<채수웅 기자>woong@ddaily.co.kr

채수웅
woong@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널