해킹당한 SKT, 과징금에 벌금 가능성까지…과거 사례 보니

유영상 SK텔레콤 대표가 25일 고개를 숙였다. SK텔레콤은 해킹 공격으로 가입자 유심(UISM) 정보가 유출되면서 유심보호서비스 가입을 권고한 데 이어 유심 무료 교체도 지원한다고 이날 발표했다. 현행법령상 해킹 사실을 인지한 시점으로부터 '24시간 이내 신고'를 해야 했지만 이를 지키지 못했단 점도 인정했다.

해킹 공격을 당한 SK텔레콤은 피해자이기도 하지만 처벌을 감수해야 할 가능성도 배제할 순 없다. 사전 점검을 통해 취약점을 발견하고 조치를 취할 수 있었다면 기업도 책임을 져야 하기 때문이다. 개인정보 안전성을 확보하기 위한 기술적·관리적 조치를 취하지 않아 이용자 정보가 유출됐을 경우 정보통신망법 위반에 해당돼 처벌받는 것이다.

사전 조치 미흡으로 정보 유출 땐 책임자 '처벌'

대표적 사례가 여기어때다. 25일 법조계에 따르면 여기어때는 2017년 3월 자사 애플리케이션(앱)을 이용해 숙박예약을 한 예약자 91만708명의 예약자명, 휴대폰 번호, 숙박일수, 숙박업소명, 객실명, 결제방법, 결제금액, 입·퇴실시간 등이 담긴 개인정보 323만9229건을 해킹 당했다. 이틀 뒤 회원 7만8710명의 이름, 회원번호, 이메일, 가입일시 등이 포함된 개인정보가 추가로 유출됐다.

수사기관은 당시 여기어때 개인정보보호·보안 분야 총괄 책임을 맡았던 장영철 당시 부사장을 정보통신망법 위반 혐의로 재판에 넘겼다. 장 전 부대표는 1·2심에서 모두 벌금 2000만원을 선고받았다.

법원은 장 전 부사장이 사전 조치를 취하지 않아 피해가 발생한 것으로 판단했다. 1심은 "장 전 부사장은 한국인터넷진흥원(KISA) 등으로부터 취약점 점검을 받아 SQL 인젝션 취약점 등을 지적받았는데도 이에 대한 취약점 점검을 받도록 지시하지 않았고 점검받지 않은 사실을 알고 있었다"며 "침해사고 당시 서비스 관리자 페이지의 접속권한을 회사 IP 주소 등으로 제한해 인가받지 않은 접근을 제한하는 조치를 취하지 않은 사실을 알고 있었다"고 지적했다.

SQL 인젝션 공격이란 데이터베이스(DB) 응용프로그램에 악의적 질의를 입력해 실행되도록 함으로써 비정상적으로 DB를 조작하는 대표적인 공격 기법이다.

오픈소스로 제공되는 침입탐지시스템을 설치했을 뿐, 이를 관리하도록 지시하지 않은 점도 근거로 제시됐다. 탐지된 침입시도내역을 모니터링할 조직도 인력도 두지 않았다. SQL 인젝션 공격으로 서비스 관리자 페이지 접속정보를 탈취당했고 침입탐지시스템에 해당 내역이 탐지됐는데도 알아채지 못한 데다 아무런 조치를 취하지 못한 만큼 개인정보 보호조치 의무를 이행하지 않았다고 봤다.

2심도 같은 판단을 내놨다. 2심 재판부는 "여기어때는 약 한 달이 지나도록 SQL 공격 사실을 몰랐고 개인정보처리시스템에 접속한 IP 등을 재분석하지 않았다"고 꼬집었다. 침입차단시스템과 오픈소스 침입탐지시스템을 설치한 것만으로는 개인정보 보호조치 의무를 다했다고 볼 수 없다는 지적도 뒤따랐다.

전문해커엔 '실형' 선고…징역 2~3년형 나오기도

개인정보를 빼낸 해커의 경우 최근 판례를 종합하면 실형이 선고되는 추세다. 고소득자 인증을 거쳐 가입을 허용하는 데이팅 앱 '골드스푼'을 해킹 공격해 범행 당시 회원 14만3400여명 중 14만여명의 개인정보를 빼낸 20대 해커 A씨는 징역 3년을 선고받았다.

A씨는 자신이 이용하던 골드스푼 시스템의 취약점을 찾아냈고 가상사설클라우드(VPC)에 접속한 다음 골드스푼 서버의 엑세스키·비밀키를 이용해 침입해 회원 14만여명의 생년월일, 신분증, 이미지 파일 등을 빼냈다. 그는 골드스푼 회원들에게 개인정보를 유포하겠다고 협박해 가상자산(암호화폐)을 갈취했다. 골드스푼 운영사 대표에겐 총 25억원에 달하는 암호화폐를 요구했으며, 실제로 4600만원 상당의 암호화폐를 이체받았다.

법원은 "A씨는 회원 개인정보를 취득한 후 일부 회원 정보를 인터넷에 공개했고 피해회사와 피해자 등을 협박해 총 6000만원 상당의 재산상 이익을 취득하기까지 했다"며 "실제 개인정보가 유출된 피해자는 심각한 정신적 고통을 호소해 사회적 폐해가 상당하고 피해 회사는 신뢰도 하락과 피해보상으로 인해 막대한 손해를 입었다"고 지적했다.

해킹 강의 관련 블로그와 유튜브 채널을 운영하던 전문해커 B씨는 의뢰를 받고 SQL 인젝션 공격으로 관리자 계청을 탈취해 로또정보사이트, 선물투자사이트, 문자발송사이트 등에서 개인정보 약 840만건를 빼낸 혐의로 1심에서 징역 3년, 2심에서 징역 2년6개월을 선고받았다.

개인정보보호위원회의 과징금 처분을 둘러싼 행정소송에서도 해킹으로 인한 개인정보 유출을 미리 막을 수 있었다는 점이 인정될 경우 기업 책임을 묻는 쪽으로 결론이 나오고 있다.

지난 19일엔 해킹 공격으로 회원 3만5076명의 개인정보가 유출됐던 인크루트에 대한 과징금이 적법하다는 판결이 확정됐다. 온라인 쇼핑몰 뉴트리코어 또한 악성코드 접근을 막지 못하면서 개인정보가 유출된 책임으로 과징금이 정당하다는 1심 판결을 받아야 했다.

SK텔레콤은 일단 개인정보위로부터 과징금을 부과받을 것으로 보인다. 유심 정보가 유출됐고 최근 법상 기한을 넘겨 해킹 사실을 신고한 사실이 드러난 책임을 피하지 못할 가능성이 크다. 유 대표는 이날 언론설명회에 나와 "고객의 소중한 정보를 보호해야 할 책무가 있는 국가 기간통신사업자로서 저를 비롯한 SK텔레콤 임직원 모두가 깊은 유감과 책임을 느끼고 있다"며 사과한 바 있다.

김대영 한경닷컴 기자 kdy@hankyung.com