[비즈니스포스트] 개인정보보호위원회가 KT 해킹 사고와 관련한 과징금 처분을 이르면 올해 2월 안에 내릴 가능성이 있다는 관측이 나온다.

이는 지난해 SK텔레콤 해킹 사고 당시 민관합동조사단의 조사 결과 발표 이후 약 2달 만에 과징금이 부과됐던 전례를 고려한 분석이다.

다만 이번 사건을 담당하고 있는 개인정보보호위원회 조사 부서의 업무 부담이 상당한 만큼, 처분 시점이 다소 늦춰질 가능성도 있다는 전망도 함께 제기된다.

과징금 부과 과정에서 실제 개인정보 유출로 인한 금전적 피해가 확인된 점을 고려할 때 KT 해킹사고에 따른 정보유출이 ‘매우 중대한 위반’으로 분류될 가능성이 크다는 평가가 나와, 과징금 규모가 역대 최고 수준을 넘어설지 이목이 쏠린다.

18일 통신 업계와 관계 당국 취재를 종합하면 개인정보보호위는 KT 해킹 사고에 대한 조사 절차를 마무리한 뒤 2월 중 과징금 규모를 확정할 것으로 전망된다. 

앞서 SK텔레콤은 지난해 민관합동조사단의 조사 결과가 발표된 이후 약 2달 뒤 개인정보보호위원회의 과징금 처분을 받았다.

이 같은 전례에 비춰볼 때 KT도 관련 절차가 유사하게 진행될 경우, 지난해 12월29일 민관합동조사단이 KT 해킹 사고 조사 결과를 발표한 점을 고려하면 올해 2월 무렵 처분이 내려질 가능성이 있다는 관측이 나오고 있다.

현재 KT는 1월 중 과학기술정보통신부에 민관합동조사단의 조사 결과에 따른 재발 방지 대책 이행계획을 제출하기 위해 막바지 준비를 하고 있는 것으로 전해졌다. 

개인정보보호위는 이러한 후속 절차가 모두 마무리된 이후 과징금 부과 처분을 내릴 것으로 예상된다.

다만 과징금 부과 시점은 SK텔레콤 해킹 사고 당시와 달리 다소 지연될 가능성도 제기된다.

KT 해킹 사고는 서버에서 개인정보가 유출된 사실관계가 비교적 명확했던 SK텔레콤 사례와 달리, 개인정보 유출 이후 실제 금전적 피해까지 발생하면서 사안이 복잡해 조사 난이도가 높다는 평가가 나온다.

여기에 지난해 국내 기업들의 개인정보 유출 사고가 잇따르면서 KT뿐 아니라 LG유플러스, SK쉴더스, 쿠팡 등의 사건을 개인정보보호위 조사2과가 모두 맡고 있어 업무 부담이 크게 가중된 상황이다.

개인정보보호위 관계자는 비즈니스포스트에 “연말 연휴도 반납하고 조사를 진행하고 있다”며 “KT 관련 사안은 점검해야 할 쟁점이 여러 곳에 걸쳐 있어 처분 시점이 다소 늦어질 수 있다”고 말했다.

KT 과징금 산정 결정과 관련해 관건은 위반 행위의 중대성이 어떻게 평가되느냐다. 

개인정보 보호법에 따르면 과징금 산정은 기준액 산정, 가중·감경 요소 반영, 최종 금액 조정 등의 절차를 거치는데, 위반 행위의 중대성 분류는 기준액을 정하는 핵심 요소로 꼽힌다.

과징금 기준액은 위반 행위와 관련이 없는 매출액을 제외한 매출액에 위반 행위의 중대성에 따른 산정 비율을 곱해 산출한다. 

중대성은 △매우 중대한 △중대한 △보통 △약한 등 4단계로 나뉜다. 최고 수준인 ‘매우 중대한 위반 행위’로 분류될 경우 과징금 산정 비율은 2.1%에서 최대 2.7%까지 적용된다.

업계는 KT의 위반 행위가 매우 중대한 위반 행위로 분류될 가능성이 크다는 데 무게를 싣고 있다. 

SK텔레콤 해킹 사고 당시에는 정보 유출에 따른 실제 피해가 확인되지 않았던 반면 KT 사고에서는 가입자 368명, 피해액 2억4319만 원의 금전 피해가 발생했기 때문에 개인정보위가 중대성을 판단하는 데 불리한 요소로 작용할 수 있다는 평가가 나온다.

과징금 기준액을 어디까지로 볼지를 둘러싼 공방 가능성도 배제할 수 없다. 

현행 법령에 따르면 과징금 기준액은 사업자의 직전 3개 사업연도 연평균 전체 매출액의 3%를 초과할 수 없다.

KT의 직전 3개 사업연도 연평균 전체 매출은 18조4134억 원으로, 이를 기준으로 할 경우 과징금 상한은 5524억 원에 달한다. 

반면 유·무선 사업 부문 매출로 범위를 한정하면 연평균 매출은 12조1010억 원으로 줄어들어, 이 경우 3%는 3630억 원이 된다.

과징금 기준액은 실제 피해 발생이라는 가중 요소와 보상 및 보안 투자라는 감경 요소가 모두 반영되기 위한 출발점이라는 점에서 의미가 크다.

이 기준이 어디에 설정되느냐에 따라 KT 해킹 사고 과징금이 SK텔레콤 과징금 규모를 넘어 역대 최고치를 기록할 가능성도 거론된다.

개인정보보호위는 과징금 산정 과정에서 관련 매출 자료를 사업자에 요구해 기준액을 정하는데, KT가 관련 매출액 범위를 축소해 과징금 산정 기준액을 낮추려는 주장을 펼칠 가능성이 제기된다.

앞서 SK텔레콤의 경우 개인정보위는 코어망 전반에서 안전조치 의무 위반이 있었다고 판단해 전체 이동통신 서비스 매출을 기준으로 과징금을 산정했다. 

이에 SK텔레콤은 유출 서버인 HSS가 LTE·5G 음성 인증 서버에 해당한다는 점을 들어 음성 서비스 매출만 과징금 산정 기준에 포함해야 한다고 맞섰고, 이 과정에서 기준 매출 범위를 둘러싼 공방이 이어졌다.
  KT가 내놓은 대규모 사후 조치들이 감경 요인으로 얼마나 반영될지도 중요한 변수다. 

개인정보보호위원회는 감경 사유로 △위반 행위 시정 조치 이행 여부 △피해 회복 및 확산 방지 노력 △개인정보 보호를 위한 지속적인 투자와 개선 노력을 종합적으로 고려한다.

KT는 지난해 12월30일 1조 원 규모의 보안 혁신 대책과 4500억 원 규모의 가입자 보상안을 발표했으며, 1월13일까지 전체 가입자를 대상으로 위약금 면제 조치를 시행했다. 

업계는 이러한 조치들이 일정 부분 감경 요인으로 인정될 가능성이 있다는 분석을 내놓고 있다.

위원회 조사 과정에서의 협조 여부 역시 과징금 규모를 가를 핵심 변수로 꼽힌다. 

지난해 SK텔레콤 사례에서는 자료 제출과 조사 협조를 둘러싸고 위원회와 마찰이 있었고, 이 점이 부정적 요인으로 작용했다는 평가가 뒤따랐는데 KT가 조사 과정에서 얼마나 성실히 협조했는지도 최종 판단에 영향을 미칠 수 있다. 

개인정보보호위 관계자는 “SK텔레콤은 민관합동조사단 발표 이후 2달 안에 처분이 이뤄졌지만, 사건별로 상황이 달라 과징금 부과 시점을 단정하기는 어렵다”고 말했다. 조승리 기자