개보위 "2300여명 정보 유출하고 정보보호 관리조치 소홀"
형평성 지적도…"고의적 위반 아닌 해킹 피해 기업에 과다"
전문가들 "징벌보다 예방 중심 제도로 전환 필요”
![[서울=뉴시스] 권창회 기자 = 방송통신위원회 통신분쟁조정위원회가 SK텔레콤 침해 사고 관련 위약금 분쟁조정신청에 대해 SK텔레콤의 책임을 인정하는 직권조정결정을 내렸다고 밝혔다. 유·무선 결합상품 해지로 신청인이 부담하는 위약금 50%에 상당한 금액을 SK텔레콤이 지급해야 한다는 내용이다. 사진은 21일 서울 시내 SK텔레콤 매장 모습. 2025.08.21. kch0523@newsis.com](https://img1.newsis.com/2025/08/21/NISI20250821_0020942311_web.jpg?rnd=20250821155852)
[서울=뉴시스] 권창회 기자 = 방송통신위원회 통신분쟁조정위원회가 SK텔레콤 침해 사고 관련 위약금 분쟁조정신청에 대해 SK텔레콤의 책임을 인정하는 직권조정결정을 내렸다고 밝혔다. 유·무선 결합상품 해지로 신청인이 부담하는 위약금 50%에 상당한 금액을 SK텔레콤이 지급해야 한다는 내용이다. 사진은 21일 서울 시내 SK텔레콤 매장 모습. 2025.08.21. [email protected]
[서울=뉴시스] 심지혜 기자 = SK텔레콤이 개인정보보호법 위반으로 개인정보보호위원회로부터 역대 최대 규모인 1348억원의 과징금 처분을 받았다.
LTE·5G 가입자 2300만여 명의 유심 인증키와 가입자식별번호(IMSI) 등 핵심 개인정보가 대규모로 유출된 데 따른 조치지만, 업계 일각에서는 “고의적 영리 목적이 아닌 해킹 피해 기업에 대한 과다한 과징금은 자칫 해킹 사고 신고 의지를 위칙시킬 수 있다”는 우려가 나온다.
28일 개인정보보호위원회는 SK텔레콤이 개인정보 보호 법규를 위반했다며 1347억9100만원의 과징금과 960만원의 과태료를 부과했다.
전반적인 시스템 점검 및 안전조치 강화, 전사적인 개인정보 거버넌스 체계 정비 등 재발 방지를 위한 시정조치도 내렸다.
개보위 "SKT, 정보보호 관리조치 소홀"
개보위는 이번 사고가 개인을 식별·인증하고 연결하는 핵심 수단으로 휴대전화가 이용되고 각종 서비스의 본인 확인이 일상화된 상황에서, 이동통신 이용에 필요한 가입자식별번호(IMSI) 및 유심 인증키가 대규모로 유출됨에 따라 이동통신 서비스의 신뢰도가 저하되고, 사회적 불안감이 확산되는 등 국민 생활에 중대한 영향을 미쳤다고 판단했다.
개보위에 따르면, SK텔레콤이 기본적인 접근 통제조차 이행하지 않아 인터넷과 내부망 사이의 보안 운영 환경이 해커의 불법적인 침입에 매우 취약한 상태로 관리·운영되고 있었다는 지적이다.
다수 서버(약 2365개)의 계정정보(ID·비밀번호 약 4899개)가 저장된 파일을 관리망 서버에 암호 설정 등 제한 없이 저장·관리하는 등 관리가 소홀했고, 보안 업데이트 조치를 실시하지 않았다는 점, 유심 인증키를 암호화하지 않고 평문으로 저장한 점 등을 문제점으로 지적했다.
역대급 과징금 두고…적정성 의견 분분
동의 없는 개인정보를 광고에 활용한 구글이 692억원의 과징금을 부과받았는데, 해킹 피해 기업인 SK텔레콤에 이보다 두 배 가까운 금액을 매긴 것은 불합리하다는 것이다. LG유플러스 역시 IMSI·IMEI·유심 고유번호 유출 사고가 있었지만, 고객인증시스템(CAS) 관련 매출만을 기준으로 68억원의 과징금을 받았다.
해외 사례의 경우 미국 통신사 T모바일은 1억건이 넘는 개인정보 유출에도 216억원 수준의 과징금을 받았다. 890만건의 정보를 유출한 AT&T는 178억원을 부과받았다. 일본 NTT니시니혼은 928만건의 개인정보가 유출됐지만 금전적 제재는 없었다.
SK텔레콤에 대한 정부 조사에서도 이번 해킹 사고에 따른 실질적 피해 사고 접수는 이뤄지지 않은 것으로 나타났다.
국내 개인정보보호법상 과징금은 매출액의 3% 이내에서 부과할 수 있다. 여기에서 유출과 관련 없는 매출액은 제외할 수 있다.
개보위는 지난해 SK텔레콤의 전체 매출액 약 17조원에서 LTE, 5G 관련 매출을 기준 중 가중, 감경 부분을 고려해 이같은 과징금을 부과했다는 입장이다. 여기에는 SK텔레콤의 시정조치와 피해보상 조치 등이 반영됐다.
"과다한 과징금, 피해 신고 위축 시킬 수도"
정부는 침해사고 인지 후 법정 신고 기한인 24시간을 넘겨 신고하면 정보통신망법 위반으로 3000만원 이하 과태료를 부과한다.
이동통신 업계 한 관계자는 “기업 입장에서는 차라리 과태료를 내고 말겠다는 유인이 생길 수 있다”며 “이런 구조라면 피해 사실을 적극적으로 드러낼 이유가 줄어들 수밖에 없다”고 했다.
영국은 유출 사실을 신속히 보고하고 보완 조치를 이행하면 과징금을 최대 90%까지 감경해 오히려 자발적 신고를 유도하고 있다.
"매출액 비율 과징금은 단기적 대책…재발방지가 중요"
박종수 고려대학교 교수는 최근 한국데이터법정책학회가 개최한 ‘해킹 및 개인정보 유출 등 정보보호법의 이슈와 과제’ 세미나에서 “기업은 개인정보 보호의무를 지는 동시에 고도화된 해킹의 피해자라는 이중적 지위에 있다”며 “과징금 중심의 처벌보다는 비례성 원칙과 재발방지 대책을 핵심으로 하는 제재 운영이 필요하다”고 언급했다.
박 교수는 "매출액 비율로 산정되는 과징금은 단기 충격 효과는 있지만 장기 예방책으로는 한계가 있다"고 말했다
이성엽 고려대 기술법정책센터장은 “과징금은 보통 부당이득 환수를 목적으로 하지만 SK텔레콤은 사실상 그런 이득이 없어 이번 과징금 규모는 과다하다는 해석이 나올 수 있다”며 “과도한 처벌은 기업들의 해킹 사고 신고 의지를 위축시킬 우려가 있다”고 지적했다.
이어 “무엇보다 중요한 것은 재발 방지”라며 “피해 기업을 가해자 취급하기보다 해커 추적과 재발 방지책 마련에 정책 역량을 집중해야 한다”고 강조했다.
◎공감언론 뉴시스 [email protected]
