고객 정보 유출 사고가 발생한 SK텔레콤에 역대급 과징금이 부과될 전망이다. 개인정보보보호법이 개정돼 부담 수준이 높아진 데다 메인 서버 해킹이 원인으로 밝혀질 경우 사안의 중대성이 더 커지기 때문이다.

29일 서울 시내의 한 T월드 매장에 유심 교체 관련 안내문이 붙어 있다. 최상수 기자

<이미지를 클릭하시면 크게 보실 수 있습니다>

최장혁 개인정보보호위원회 부위원장은 29일 정부서울청사에서 정례브리핑을 열고 “(SK텔레콤의) 메인서버에서 (개인정보) 유출이 있었다고 본다”며 “우리나라 1위 통신사의 메인 서버가 해킹당한 것 자체가 굉장히 상징적”이라고 밝혔다.

이어 “SKT가 그걸(메인 서버 유출을) 왜 부정했는지 모르겠다”며 “메인 서버에서 유출이 있었다고 보면 맞을 것 같다”고 덧붙였다.

개인정보위는 지난 22일 SK텔레콤으로부터 고객 개인정보 유출 신고를 접수 받고 즉시 조사에 착수했다. SK텔레콤은 자사 시스템에 보관 중이던 고객 유심(USIM) 관련 정보가 외부로 유출된 정황을 인지하고 개인정보보호법에 따라 자진 신고했다.

위윈회는 SK텔레콤 메인 서버의 약 5단계 방어벽을 해커가 어떻게 통과했는지 등을 조사하고 있다.

최 부위원장은 “(고객의) 주민등록번호 등이 (유출된 정보에) 포함됐다고 단정적으로 말씀드리기 어렵다”고 했다.

이번 사고의 과징금 규모는 역대급으로 클 것이란 관측이 나온다.

개인정보위는 2023년 7월 약 30만 건의 고객 정보가 유출된 LG유플러스에 68억원을 부과한 바 있다. 그런데 그 사이 개인정보보호법이 개정되며 처벌 수준이 높아졌다.

이전에는 과징금 상한액이 ‘위법행위와 관련된 매출액의 3%’였지만, 지난해 9월 법 개정 이후에는 ‘전체 매출의 3%’로 조정하면서 위반행위와 관련 없는 매출액은 제외하도록 했다. 관련 없는 매출액에 대해선 증명 책임이 기업에 주어진다. 증명하지 못하면 과징금 대상이 돼 결과적으로 부담이 커지게 된다.

또 LG유플러스는 부가서비스를 통한 개인정보 유출이었던 반면, SK텔레콤은 가입자 전화번호, 가입자식별키(IMSI) 등이 담긴 메인 서버 해킹 가능성이 커 중대성 면에서도 차이가 있다.

최장혁 개인정보보호위원회 부위원장이 29일 정부서울청사에서 현안 관련 정례브리핑을 하고 있다. 뉴시스

<이미지를 클릭하시면 크게 보실 수 있습니다>

최 부위원장은 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 “LG유플러스는 개인정보보호법 개정 전이었고, (SKT 사고는 그 이후라서) 과징금 액수가 굉장히 높을 가능성이 있다”고 말했다.

이번 SKT 해킹 사태로 이용자의 정보가 다크웹으로 흘러 나간 정황은 아직까진 없는 것으로 파악됐다. 다크웹이란 특수한 브라우저를 사용해야 접속할 수 있는 ‘음지 사이트’를 말한다.

이현미 기자 engine@segye.com

ⓒ 세상을 보는 눈, 세계일보