6일 방송통신위원회(위원장 최성준, 이하 방통위)는 제68차 전체회의를 열고 개인정보보호를 위한 기술적·관리적 보호조치 의무를 위반한 인터파크에 대해 개인정보 유출사고 중 최대 금액인 44억8000만원 과징금 및 2500만원 과태료와 재발방지 대책을 수립·시행토록 하는 등의 시정명령을 부과했다.

이와 관련 인터파크는 기존 최대 1억원에서 매출액의 3%까지 부과할 수 있도록 관련법이 최근 개정됐다는 이유만으로 대기업과 금융권, 통신사 등 유사한 사례에 대비해 60배에 달하는 과징금을 산정한 것은 형평성이나 비례의 원칙에 맞지 않다고 불편한 기색을 드러냈다.

인터파크는 방통위를 상대로 과징금 처분 취소 소송을 내부적으로 검토하고 있다. 방통위로부터 개인정보 유출 관련 과징금을 부과 받은 KT도 이 소송을 제기해 승소한 바 있다. 이 때문에 인터파크는 경찰조사 발표를 우선 지켜본 후 소송을 준비할 것으로 예상된다.

◆방통위 “개인정보보호 경종 울리겠다”=방통위는 지난 7월25일부터 미래창조과학부와 공동으로 해킹경로 파악과 인터파크의 개인정보 처리·운영 실태에 대한 현장조사를 진행해 왔다.

경찰청으로부터 넘겨받은 해킹사고 관련자료와 인터파크의 개인정보처리시스템 등에 남아있는 접속기록 등을 분석한 결과, 인적사항을 알 수 없는 해커는 지난 5월3일경부터 6일까지 지능형지속가능위협(APT) 공격방식의 해킹으로 이용자 개인정보 총 2540만3576건(중복제거 때 2051만131명)을 외부로 유출했다.

유출된 회원정보는 아이디, 일방향 암호화된 비밀번호, 이름, 성별, 생년월일, 전화번호, 휴대전화번호, 이메일, 주소 등 9개 항목으로 확인됐다.

이번 개인정보 유출사고의 주요 원인은 개인정보처리자가 업무가 끝난 뒤에도 로그아웃을 하지 않고 퇴근해 개인정보처리자의 컴퓨터(PC)가 해킹에 이용된 것 등이다. 정보통신망법 제28조제1항에 따르면 개인정보처리시스템에 대한 개인정보처리자의 접속이 필요한 시간 동안만 유지되도록 ‘최대 접속시간 제한 조치’ 등을 취해야 한다.

특히, 인터파크는 보관·관리하고 있는 개인정보가 2500여만건으로 매우 방대하고 여러 사업자와 개인정보를 공유하고 있기 때문에 이에 걸맞은 엄격하고 세밀한 개인정보 관리가 요구되고 있었다.

이와 관련 방통위는 정보통신망법 제28조 제1항에 따른 접근통제 등 기술적·관리적 보호조치를 소홀히 해 이용자의 개인정보가 유출되는 빌미를 제공하는 등 중과실이 있다고 판단, 지금까지의 개인정보 유출사고 중 최대 금액의 과징금을 부과하는 등 엄정한 제재 조치키로 했다.

최성준 위원장은 “반복되는 유출사고에도 불구하고 아직도 기업에서는 핵심 자산인 개인정보 보호에 투자하기보다는 이윤추구를 우선시하는 경향이 있어 안타깝다”며 “이번 행정처분을 통해 다량의 개인정보를 처리하는 사업자들에게 경종을 울리는 계기가 되길 기대한다”고 강조했다.

이어 “정부에서도 개인정보 유출로 인한 국민들의 불안과 피해를 최소화하기 위해 통신·쇼핑 등 생활밀접 분야 사업자들의 개인정보보호 법규준수 여부를 지속적으로 점검하고, 개인정보 불법유통이나 침해에 대해서는 연중 단속을 전개하겠다”고 덧붙였다.

◆KT 때보다 64배 많은 과징금…어느정도 수준일까?=방통위는 이례적으로 44억원 이상의 과징금을 인터파크에 내렸다. 그동안은 개인정보 유출 관련 2억원이 넘는 과징금을 의결한 사례조차 찾기 힘들었다. 방통위가 의결한 4년간의 과징금 금액도 10억 이하에 머물고 있다.

그러나 이번 인터파크 사건에는 KT 개인정보 유출 때보다 무려 64배나 많은 과징금을 내리기로 결정한 것이다. 방통위는 지난 2014년 가입자 약 981만명의 개인정보 약 1170만건을 유출한 KT에게 과징금 7000만원, 과태료 1500만원, 시정조치를 명령했다. 개인정보 유출과 관련해 기업의 과실과 책임을 인정한 첫 사례다.

지난해 11월에는 약 195만명의 회원정보를 유출한 뽐뿌커뮤니케이션에 과징금 1억200만원과 과태료 1500만원을 부과했다. 지난 8월 롯데홈쇼핑은 제3자 제공 동의를 받지 않은 고객정보를 판매해 1억8000만원 과징금 조치를 내렸다.

김정재 새누리당 의원은 지난 국회 미래창조과학방송통신위원회 국정감사를 통해 지난 4년간 방통위의 개인정보 유출에 따른 피해자는 4300만명인데 과징금은 고작 9억400만원에 불과하다고 질타한 바 있다.

과징금이 대폭 늘어난 것에 대해 방통위는 정보통신망법 개정에 따라 과징금 액수가 기업 매출액의 3% 이하로 높아진 데 따른 것이라고 설명했다. 또, 인터파크의 개인정보 유출 규모 등이 심각했던 만큼 역대 최대 과징금을 부과하게 됐다는 입장이다.

◆인터파크 “민감정보 유출 없는데…부당하다”=이번 의결에 대해 인터파크는 즉각 반발했다. 개인정보 침해 사고로 인한 책임을 통감하지만 기존 사례에 비교해 형평성에 어긋날 정도의 과다한 과징금을 내렸다는 주장이다.

또한, 인터파크는 주민번호·금융정보 등 민감한 개인정보가 유출되지 않았으며 북한 소행이라는 점 외에는 개인정보 보호조치 의무의 일부 위반 사실과 개인정보 유출의 결과 사이에 인과 관계도 증명되지 않았다고 반박했다.

인터파크 측은 “적법한 절차를 통해 정확한 과실 여부 등을 올바로 밝히겠다는 방침”이라며 “과징금 취소 소송을 내부적으로 검토하고 있다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr