최장혁 개인정보보호위원회 부위원장 정례브리핑
"현재 유출이 확인된 정보는 개인정보로 봐도 무관"
"개인정보법 위반 확인되면 과징금 전체 매출의 3%"
[아이뉴스24 윤소진 기자] 최장혁 개인정보보호위원회 부위원장은 29일 오후 정부서울청사에서 열린 정례 브리핑에서 최근 SKT 유심 해킹 사태 관련 "국내 1위 통신사가 메인 서버를 해킹 당했다는 것은 매우 상징적인 일"이라며 "과거 LG유플러스의 사례와 비교하면 과징금 규모는 차원이 다를 것으로 예상한다"고 말했다.
![최장혁 개인정보보호위원회 부위원장이 29일 오후 정부서울청사에서 정례 브리핑을 진행하고 있다. [사진=윤소진 기자]](https://image.inews24.com/v1/5ef56b99ca108b.jpg)
최장혁 개인정보보호위원회 부위원장이 29일 오후 정부서울청사에서 정례 브리핑을 진행하고 있다. [사진=윤소진 기자]개인정보위는 지난 2023년 LG유플러스가 해킹 피해로 약 30만건에 달하는 고객정보를 유출한 건에 대해 69억원의 과징금과 과태료 2700만원을 부과한 바 있다. 당시 유출된 개인정보는 휴대전화번호, 성명, 주소, 생년월일, 이메일 주소, 유심고유번호 등이다.
이번 SKT의 경우 유출된 정보의 개인정보성이 인정되고 그 규모나 범위가 특정되면 과징금 액수는 훨씬 큰 규모가 될 가능성이 높다는 설명이다.
최 부위원장은 "LG유플러스의 경우는 부가서비스 서버가 해킹됐지만 SKT의 경우는 메인서버"라며 "LG유플러스는 10년 전 사건으로 해킹경로 파악이 어려웠지만 SKT는 그렇지않다"고 설명했다. 이어 "법개정 전후의 차이도 있어 과징금 액수는 LG유플러스보다 굉장히 높아질 가능성이 있다"고 부연했다.
2023년 개인정보보호법 개정으로 법 위반 사업자에게 '전체 매출액'의 3%까지 과징금을 부과할 수 있다. 법 개정 전에는 '위반행위 관련 매출액'의 3% 였다. SKT의 작년 매출액은 17조원을 돌파했다. 이를 기준으로 계산하면 이론상 최대 과징금은 5000억원이 넘는다.
이날 과학기술정보통신부가 발표한 1차 조사결과에 따르면 이번 침해 사고를 통해 유출된 정보는 △가입자 전화번호 △가입자식별치(IMSI) 등 유심 복제에 활용될 수 있는 4종과 유심 정보처리등에 필요한 SKT 관리용 정보 21종이었다. 단말기 고유식별번호(IMEI) 유출은 없는 것으로 확인됐다.
이와 관련 최 부위원장은 "유심칩의 IMSI, IMEI 등 이용자 식별 정보나 기기 식별 정보 등의 개인정보성은 좀 더 구체적으로 조사해봐야 하지만, 나타난 정황으로는 충분히 개인정보로 봐도 무관하하다고 판단된다"며 "정보 유출과 관련해선 국내외 기업을 가리지 않고 엄중한 책임을 물을 것"이라고 강조했다.
다음은 최장혁 개인정보위 부위원장과의 일문일답.
과기정통부에서 1차 조사결과 발표했다. 개인정보위 조사는 얼마나 걸릴 것으로 예상하나?
"이례적으로 당일 바로 조사에 착수했다. 사내 변호사를 포함한 베테랑 조사관을 투입했으며, 외부 전문가들과 태스크포스(TF)를 구성했다. 최대한 빠른 시일 내에 조사를 완결해 국민 불안을 덜어드리겠다. 어느정도 윤곽이 나오면 중간 결과를 발표할 자리를 만들겠다"
유출 신고 시점에 대한 의문이 있는데?
"SKT가 개인정보위에 신고한 시점은 정확히 4월 22일 오전 10시다. 당시 신고에는 유출 정황만 포함됐고 구체적인 피해 규모나 대상은 포함돼지 않았다. 개인정보위에는 72시간 내에 신고하도록 돼 있는데 조사결과 유출 인지 시점이 18일로 밝혀지면 관련해서도 책임을 물을 수 있다. 다만 현재는 SKT의 유심정보가 왜 유출됐는지가 핵심 조사 사항이기 때문에 이 부분에 집중하고 있다"
개정된 개인정보보호법상 개인정보 유출이 인정되면 과징금 규모가 전체 매출의 3%인데, 감경 기준이 있나?
"구체적인 과징금 규모는 조사 시작단계라 정확하게 말씀드리기 이르지만 상당 높을 것으로 예상한다. SKT의 경우는 메인서버 문제이기 때문에 상당히 커버리지가 높을 것으로 보인다. 해킹이 어느정도 지속됐나, 위반 횟수가 얼마나 되는지, 조사에 충실히 협력했는지, 사후 조치를 충분히 했는지 등을 감경 사유로 검토할 수는 있다"
과징금을 피해자를 위해 사용하는 방안도 고려하고 있나?
"기금을 출연하는 방식을 생각해볼 수 있는데 예산 당국과 협의가 필요하다. 법 위반 기업의 과징금을 가지고 개인정보보호 기금을 만들어 개인정보보호 인프라가 부족한 부분에 투자하는 등의 선순환 구조를 만들 수 있기 때문에 장기적으로 기재부하고 상의를 해보겠다. 굉장히 바람직한 취지라고 생각한다"
이번 사건이 개인정보위의 마이데이터 사업에 미칠 영향은?
"통신 데이터와 의료 데이터가 마이데이터의 대표적인 요소인데, 이번 사건으로 영향을 받을까 걱정된다. 빨리 조사를 마무리해 신뢰성을 확보하고, 국내외 대기업과 공공기관의 개인정보 보호에 대한 투자와 인력 배치를 강화해 개인정보 보호 수준을 높여야 데이터 산업도 발전할 수 있다."
최 부위원장은 마지막으로 "개인정보보호법 AI 특례를 신설하는 법 개정안이 국회 법안 소위에 올라갔다"며 "해킹기술은 나날이 발전하는데 이에 대응하는 투자나 기술이 부족한 현실이다. 개인정보 원본 데이터를 활용해 AI 신기술 개발이나 사회적 이익에 활용할 수 있다. 이번 특례 규정은 그러한 의미에서 국내 AI 산업 발전에 큰 역할을 할 것으로 기대한다"고 말했다.
/윤소진 기자(sojin@inews24.com)포토뉴스
English (US) · 