고학수 개인정보보호위원회 위원장(장관급)이 3년 임기 중 마지막 해를 맞은 올해 역대급 해킹 사건들이 잇따라 터졌다. SK텔레콤(이하 SKT), KT와 같은 통신사뿐 아니라 GS리테일, 예스24 등 유통기업, SGI서울보증보험·웰컴금융그룹·롯데카드 등 금융회사에서도 심각한 사고들이 발생했다.
'해킹 또 해킹'…역대급 과징금, 경영진에 경각심
고 위원장은 지난 25일 정부서울청사에서 비즈워치와 진행한 인터뷰에서 "인공지능(AI), 디지털 시대로 넘어가는 국면에서 디지털 데이터가 대규모로 축적되고 있다"며 "해커 입장에서 보면 규모 있는 회사에 침투해 건져갈 수 있는 데이터가 과거보다 확연히 많아진 환경이고, 이를 통한 돈벌이 등 구체적 목적도 달성할 수 있게 됐다"며 연일 대형 사고가 터지는 이유를 설명했다.
이어 "지금까지 기업들이 개인정보보호 업무를 개인정보보호책임자(CPO), 정보기술(IT) 영역으로 한정해 운영하고, 정작 최고경영자(CEO)는 관심을 두지 않는 부차적 업무로 치부하는 경향이 짙었다"며 "SKT, KT, 롯데카드 등 개인정보 유출사고에서 확인했듯 이런 사고들은 기업의 이미지·신뢰도에 막대한 타격을 줄 수 있다"고 경고했다.
특히 SKT에는 개인정보위 출범 이후 최대 규모인 1348억원의 과징금이 부과됐다. 개인정보위는 과징금 상한을 매출의 3%로 두고 피해정도, 유출된 정보의 유형, 피해회복 조치 이행 여부 등 다양한 요소를 고려해 가감했다. 과한 과징금은 기업이 사고를 숨기도록 유도할 것이란 우려도 나온다. 고 위원장 이와 관련해 "국내외 다른 입법례에 비교해도 과도하다고 보기 어려운 수준"이라고 말했다. 현행 공정거래법은 시장지배적사업자가 남용행위를 한 경우 관련 매출의 6% 한도에서 과징금을 부과하고, 유럽연합(EU)의 일반개인정보보호법(GDPR)은 심각한 위반의 경우 직전 회계연도 전세계 연간 매출의 4% 또는 2000만유로(약 330억원) 중 높은 금액을 부과한다.
그러면서 SKT 사고의 심각성을 짚었다. 고 위원장은 "SKT의 경우 국내 1위 통신사로 매출이 커서 기준 금액이 크고, 전국민의 절반에 해당하는 약 2300만 명의 대규모 개인정보 유출이라는 점, 안전조치 의무 위반 사실이 시스템 전반에 걸쳐 있다는 점 등을 고려해 '매우 중대한 위반행위'로 판단했다"고 설명했다. 다만 "유출사고와 관련한 위반행위를 시정하고, 이용자의 피해 회복을 위해 노력한 점 등을 고려해 과징금 액수를 상당부분 감경한 것"이라고 덧붙였다.
과징금은 어떤 효과를 부를까. 고 위원장은 "적정 수준의 과징금 부과는 기업들에게 개인정보의 보호와 안전한 관리에 대한 경각심을 높이고, 정보보호 투자 확대를 유도하는 효과가 있을 것"이라고 했다. 이런 관점에서 "이번 SKT 사건은 기업 CEO 등 핵심 경영진에게 개인정보 보호에 대한 경각심을 갖는 계기가 됐다"는 게 고 위원장의 생각이다.
그는 "SKT 사건이 생기기 전에 개인정보보호는 CEO가 정보보호 인력에 맡겨두면서 '나는 모르겠고, 당신이 전문가니 알아서 하라'는 식으로 문제가 생기면 책임을 전가하는 식으로 대응했다"며 "그러나 SKT, KT, 롯데카드 CEO들이 국회에 불려가는 등 CEO가 책임지는 사안이라는 점이 현실로 인식되기 시작되면서 (개인정보보호는) CEO가 관심을 가져야 하는 사안이라는 깨달음이 이제 나타나는 것 같다"고 했다.
SKT, 성역화된 '인프라'서 구멍…안일했던 초기대응
개인정보위 전체회의에서 SKT에 처분된 과징금 약 1348억원은 당초 산정된 것에서 50% 가량 감경된 것이다. 개인정보위는 논의 끝에 과징금 부과의 기준이 되는 매출은 전체 매출이 아니라 이동통신 서비스 매출로 잡았다. 또한 '매우 중대한 위반'으로 적용하되 개인정보유출 사실관계, 위반행위 등을 고려해 부과기준율을 조정했다. 이와 함께 수년에 걸쳐 보안에 주의를 기울이지 않은 장기 위반 행위라는 점을 고려해 과징금을 가중하되 유출로 인한 직접적 이득을 취득하지 않은 점과 시정완료, 피해회복, 개인정보 보호노력 등의 감경 사유를 감안해 과징금을 부과했다.
최근 SKT 제재안을 다룬 개인정보위의 전체회의 속기록이 공개됐으나, 최종 과징금을 결정하는 장면은 속기록에 남지 않아 관련 비하인드 스토리에도 관심이 모인다. 한 개인정보위 위원이 최종 결정 직전에 위원장실로 이동해 논의하자고 제안했는데 이때부터는 기록이 없다. 고 위원장은 마지막 논의 내용에 대해 "참석한 위원 7명 모두 생각이 달랐는데 (속기록을 남기지 않을 때부터) 위원들은 조금 더 속내를 드러냈다"며 "정치적 성향에 따른 차이는 없고 위원들 개개인의 관심과 평소 철학, 소신에 따라 법률적, 기술적, 소비자 관점 등에서 나오는 생각을 조금 더 녹여냈다"고 했다.
SKT 사건의 특이점은 무엇일까. 고 위원장은 "이 회사의 핵심 자산은 네트워크 인프라다. 거기가 말하자면 성역처럼 됐다"고 지적했다. 그러면서 "그게 핵심자산이니까 담당 부서에선 '알아서 관리하니 딴데에선 건드리지마' 이런 분위기가 생긴 것"이라며 "회사 전체를 관할하는 개인정보보호 부서가 있음에도 현실에선 '네트워크 인프라는 넘보지마'라는 관행이 생겼고, 문제가 발생했을 때 그곳에서 무슨 일이 있었는지 상황파악도 잘 안되는 그런 문제가 있었다"고 했다. 그는 "규모 있는 다른 회사도 비슷한 상황일 것 같다는 생각이 들었다"고 덧붙였다.
또 "SKT 내부에선 예산을 써서 (서버) 업그레이드를 해야 한다는 보고가 중간에 몇번 있었는데 중간 관리자 어디선가 의사결정을 못한 채로 흐지부지되다가 어느 시점에 큰 사고로 이어진 것"이라며 "CPO나 정보보호최고책임자(CISO) 등 개인정보보호 책임자가 주기적으로 시스템을 점검하고 필요하면 CEO에 직접 보고하고 개선이 진행되는 구조를 만들어야 한다"고 강조했다.
과징금 부과를 통한 경각심 제고보다는 예방이 우선이라는 점은 분명히 했다. 고 위원장은 "과징금을 부과하면서 다른 회사 CEO들도 크게 깨닫고 이와 관련한 관심가 지시가 생기는 등 즉각적 효과가 있었다"면서도 "그러나 큰틀에선 문제가 생기지 않도록 예방하는 것이 제일 좋은 것"이라고 말했다.
SKT의 행정소송 가능성에 대해선 "아직 의결서를 SKT에 송부하지 않은 상황"이라며 "SKT도 고민을 많이 할 것 같다"고 했다. 그는 "SKT 대리인 측이 과징금을 결정하는 전체회의 직전까진 '(SKT가) 나름 최선을 다한 것'이라고 하다가, 하루 뒤에 '우리가 다 잘못했다'는 식으로 톤이 바뀌어 위원들이 '서면 제출한 의견이 맞냐, 오늘 구두 설명이 맞냐'고 확인했을 정도였다"고 했다.
과징금 규모가 너무 많으면 기업들이 해킹 사실을 숨길 것이란 우려에 대해선 "전혀 맞지 않는 얘기"라고 일축했다. 그는 "SKT의 경우 허점이 너무 많아 '매우 중대한 위반' 사례였는다"며 "회사가 최선을 다하고 문제가 생기는 경우에 대해선 처벌을 하지 않는다. (기업이) 할 수 있는 것을 다했는데 너무 뛰어난 해커가 나타나거나, 실무자의 단순 실수로 파악되면 과징금 대상이라도 대폭 감면한다"고 했다.
고 위원장이 SKT 사건을 두고 '역대급', '이미 어마어마한 피해 발생' 등 강한 어조의 발언을 내놓은 것에 대해선 "초기에 회사가 '별거 아닌데요'라는 메시지를 냈고 자꾸 퍼졌다"며 "저희가 보기에 유심 정보가 나갔는데 중대하지 않다는 건 말이 안되는 것이었기에 경각심을 높여야겠다고 생각해 그런 메시지를 냈다"고 했다.
SKT가 개인정보 유출 사실 통지를 늦게 한 것에 대해서는 "(기업은) 고객들이 놀라 반응하는 것이 부담될 수 있어 시간을 끌고자 하는 게 있을 것"이라고 했다. SKT는 4월에 해킹사실이 터졌음에도 고객에게 알리지 않아 개인정보위는 5월 초 긴급 전체회의를 열었다. 전체회의에선 모든 고객에게 해킹 사실을 통지하라는 결정을 내렸다. 고 위원장은 "SKT는 해커를 통해 어떤 고객의 정보가 나갔는지 파악했으면서 7월에야 통지한 것"이라며 "초기에 별것 아니라고 유지한 흐름을 이어간 것으로 본다. 이런 점을 제재에 반영했다"고 했다.
"SKT, 해커가 헤집고 다녀…롯데카드도 유사"
최근 발생한 KT, 롯데카드 개인정보유출 사건에 대해서도 의견을 내놨다. 그는 "숫자만 가지고 판단할 수 없고, 상세 내역을 봐야 한다"는 전제를 깔았다.
롯데카드의 경우 약 297만명의 고객정보가 유출됐다. 유출용량은 200기가바이트(GB)로 SKT(9.82GB)의 20배가 넘는다. 고 위원장은 "200GB 수준의 데이터는 텍스트 파일이었을 것인데, 이는 굉장히 많은 분량"이라고 했다. 이어 "SKT의 경우 3년 반 동안 해커가 내부 시스템을 헤집고 다녔다. 롯데카드도 꽤 오랜기간 해커에 노출된 것 같다는 점에서 SKT와 유사하다"고 말했다.
KT와 관련해선 "개인정보위는 KT가 유출신고를 하기 전 조사에 착수했다. 인증키가 같이 유출됐다고 하면 중대한 사안인데, 회사가 공개적으로 얘기하는 부분에 기초해 보면 그렇게 중대한 상황인지 아직 명백하지 않은 점이 있다. 말을 자꾸 바꾸니까 국민들이 불안을 느끼고, 이런 점이 더 크다"고 했다. 아울러 "KT가 산간벽지 곳곳에 통신 서비스를 제공하면서 펨토셀(해킹 사태의 원인이 된 불법 초소형 기지국)을 다른 통신사보다 유난히 많이 운영했다"며 "이를 하나하나 어떻게 하기 힘들었을 것"이라고도 했다.
고 위원장은 다만 "조사를 하다보면 숫자가 더 늘어나기도 한다"며 "개인정보위가 볼 때 훨씬 중요한 요소는 내부 전산망 등 시스템 관리 상황"이라고 말했다. 또 "SKT는 거의 전체 고객의 유심 정보가 유출된 사실이 사건 초기부터 밝혀져 너무 중대한 상황이라는 게 명백했는데, 롯데카드와 KT는 아직 또렷하게 드러난 게 없는 상황"이라고 했다.
롯데카드에 과징금 50억?…개인정보법 적용할수도
롯데카드의 경우 신용정보법을 적용하면 과징금이 최대 50억원에 그친다는 지적도 있다. 이에 대해 고 위원장은 "신용정보법 대상인지 개인정보보호법에도 적용되는지는 회사가 어떤 전산 시스템 구조를 갖추고 있으며 어떤 허술함 때문에 데이터가 유출됐는지 등 구체적 사실 관계를 파악하고 판단해야 한다"고 했다. 이어 "카드거래와 연체여부, 이용한도 등의 정보와 회원관리, 이용요금 청구 등의 정보가 나뉘어있을 수 있어 어떤 문제가 있었는지 쪼개서 봐야한다. 그 다음에 어떤 법이 적용될지 가늠할 수 있다"고 말했다. 신용정보법과 별도로 개인정보보호법 위반으로 롯데카드를 제재할 수 있음을 시사한 걸로 보인다. 이 경우 롯데카드는 매출액의 최대 3%까지 과징금을 물어야할 수도 있다.
그는 "신용정보법 처벌조항은 10년 전쯤 개정된 이후 개정이 안된 측면이 있다"고 했다.
앞서 SKT 개인정보유출 사건을 조사한 과기정통부 중심의 '민관합동조사단'에 개인정보위가 참여하지 않은 것에 대해서는 "과기정통부 민관합동조사간은 신속한 원인 분석과 함께 향후 문제가 생기지 않도록 하는 조치를 빠르게 하려는 관점이 있고, 개인정보위는 조사와 과징금 처분이 중심"이라며 "독립성과 전문성에 기반해 국가의 이름으로 민간 기업에게 과징금을 부과하는 일을 하는 부처가 '민'이 포함된 조사단에 참여하는 것은 어불성설"이라고 했다.
개인정보위는 지난 11일 SKT 사고를 계기로 '개인정보 안전관리 체계 강화 방안'을 발표한 바 있다. 국민 생활에 큰 영향을 미치는 대규모 개인정보유출 사고를 예방하기 위한 종합 대책으로 △개인정보 인력·예산 확보 △CEO 책임 강화 △CPO 지정 신고제 도입 및 직무권한 보장 등을 골자로 한다.
고 위원장은 "CEO 스스로 개인정보 영역을 떠넘기지 말고 관심을 가져야 한다는 게 핵심"이라며 "기존에는 개인정보보호영역을 담당하는 임직원은 회사에서 인정도 못받고 사고가 생기면 잘릴 위험에 놓이는 등 경력의 불안정성도 컸는데, 이런 문제들을 해소하는 방향이기도 하다"고 했다.
