■ 방송 : MBC 뉴스투데이 (월~금 오전 06:00, 토 오전 07:00)
■ 진행 : 정슬기 앵커
■ 대담자 : 고학수 개인정보보호위원회 위원장, 서울대 법학전문대학원 교수, 전 UN AI 고위급 자문기구 위원
<hr>
정슬기> 2300만 명의 고객 정보를 유출한 SK텔레콤이 1300억 대 과징금을 물게 됐습니다. 고학수 개인정보위위원장 모시고 역대 최대 규모의 과징금을 부과한 이유 알아보겠습니다. 위원장님 안녕하십니까?
고학수> 안녕하세요.
정슬기> 먼저 지난 4월 발생한 SK텔레콤 개인정보 대량 유출 사건에 대해서 말씀을 좀 해주시죠.
고학수> 4월 말에 사건이 있었는데요. 저희는 사건 접수를 하자마자 당일에 TF를 10여명 정도 구성해서 집중적으로 조사했습니다. 조사를 하고 보니까 2021년 8월에 이미 해커가 전산망에 침입 했었고요. 3년 반 정도 되는 꽤 긴 기간 동안 여러가지 시스템에 악성 프로그램을 심어놓고, 결국은 올해 4월 달에 대규모로 정보를 유출한 정황을 확인했습니다. 그 유출된 정보에는 2300만 SK고객 거의 모든 분들의 유심 정보가 포함되어 있었고, 그 이외에도 20여가지 정보가 있었는데요. 가장 핵심적으로는 유심 정보 안에 핸드폰 번호, 또 가입자 고유 번호 또 가입자 인증번호 이런 정보들이 포함 돼 있습니다.
정슬기> 핵심적인 정보들이군요.
고학수> 네 그런 정보들이 포함돼 있어서 일상에 있어서 24시간 핸드폰을 같이 가지고 있는데 본인과 통신망을 이어주는 가장 핵심적인 정보가 유출된 그런 셈이었습니다.
정슬기> 구체적으로 어떻게 외부로 유출이 된 건지 또 파악이 됐나요?
고학수> 그 유출된 경위는 파악이 됐는데요 말씀드린 대로 3년 반 정도 꽤 긴 기간에 취약한 상태에 노출돼 있었고 그 과정에서 어느 한 곳에서 부차적인 문제가 있었다기보다 여러군데 문제가 있었습니다.
정슬기> 그러면 이렇게 긴 시간동안 기업에서는 전혀 파악을 하지 못하고 있던 건가요?
고학수> 기업에서 파악할 수 있는 그런 기회가 몇 차례 있었는데 그런 기회를 놓친 것이 굉장히 돌이켜보면 안타까운 그런 상황이 되는 거죠.
정슬기> 이게 SKT가 굉장한 대기업이지 않습니까 어떻게 이렇게 기본적인 보호조치가 되지 않았다고 보시는지요?
고학수> 여러 가지 기업 내부적인 상황이 있었을 거 같은데요 몇 가지 말씀을 드리면 일단 문제상황이 어떤 게 있었냐면, 접근 통제. 그래서 인터넷 망하고 회사 내부 망 사이에 연결이 굉장히 원활하게 이루어지는 상황이었습니다. 그래서 해커를 정보를 외부에 보내기 굉장히 쉬운 상황에 있었고, 또 몇 천 개 서버의 비밀번호가 평문으로 저장돼 있었습니다. 그래서 해커가 회사 시스템에 일단 들어온 다음에는 그 안에서 비밀번호를 가지고 여러 시스템에 접근 가능한 상황이었고.
정슬기> 평문이라는 게?
고학수> 평문이라는 게 암호를 걸어서 혹시나 그 정보가 유출되도 그 내용을 그 번호를 알 수 없도록 관리하는 게 일반적인데 암호화를 걸지 않고 있었기 때문에 개인 이메일 비밀 번호와 마찬가지로 그 비밀번호가 그대로 노출이 돼 있었던 상황이죠. 그리고 전산 시스템 OS자체도 2016년부터 취약성이 있다고 알려져 있는 상황이었는데 회사가 그에 관해서 적절한 업그레이드나 업데이트를 하지 못한 채 노출 돼 있는 그런 취약점들이 계속해서 있었습니다.
정슬기> 관리가 전체적으로 부실했던 걸로 보이네요. 과징금이 1348억 원이 나왔습니다. 개인정보위가 처분한 과징금 규모 중에 가장 큰 것으로 알려졌는데 왜 이렇게 큰 금액이 처분 된 것이고 또 어떤 기준으로 이 금액이 산정된 것인지 궁금하거든요
고학수> 과징금을 산정하는 방식은 법과 고시에 정해져 있습니다. 그래서 다섯 개 단계로 정하게 돼 있고요. 각각의 단계의 고려 요소가 법에 구체화 돼 있고요. 그래서 가장 기본적인 건 회사의 매출액을 보게 돼 있고 매출액으로부터 얼마나 중대한 문제였는지 또 가중할 요소가 뭐가 있었는지 감경할 요소는 또 있지 않았는지 이런 것들을 보게 돼 있고 그래서 그런 과정들을 거쳐서 액수가 산정 됐습니다. 그래서 이 건의 경우는 매우 중대한 위반이었다고 판단이 됐고, 다른 한 편 3년에 걸친 굉장히 장기간이어서 가중된 부분이 있고요. 따른 한 편 회사가 시정 조치를 했고 고객을 위한 서비스를 추가적으로 내놓고 한 부분, 이런 부분들은 감경요소로 작동이 됐고 그런 단계 단계를 거쳐서 최종액수가 정해졌습니다.
정슬기> 일각에서는 이 과징금이 과중하다, 이런 의견이 있습니다. SKT도 해킹 피해자인데다가 영리를 목적으로 고객 개인 정보를 유용했던 구글 메타와 비교했을 때 과징금이 커서 형평성 논란도 나오고 있거든요 이 점에 대해서 어떻게 생각하시는지요?
고학수> 말씀 드린대로 과징금을 정하는 과정은 단계 단계 정하게 돼 있고 이렇게 정하게 된 게 사실은 2023년, 2년 전에 법이 바뀌면서 과징금 정하는 방식도 새롭게 정해졌습니다. 그래서 구글이나 메타 건 하고는 사실은 과징금 산정하는 방식이 달라서 비교가 어려운 점이 있고요. 다만, 과징금을 정하는 데 있어서 가장 핵심적인 요소는 기업의 매출액입니다. 그래서 SK텔레콤의 경우는 연결재무재표상 연 17조 정도의 매출액이 있고요. 구글이나 메타의 경우는 그 당시 문제가 생겼더 그 당시 기준으로는 약 구글은 3조 남짓, 메타는 1조 남짓 이런 정도 국내 매출이 있는 상태였기에, 사실은 매출액 자체가 세 개의 기업 사이에 상당한 차이가 있었습니다.
정슬기> 네. 향후 SKT가 과징금 규모를 줄이기 위해서 행정소송을 할 수도 있는데 그것에 대해서는 어떻게 대응을 하실 전망이신지요?
고학수> 다른 건도 마찬가지입니다만, 이 건의 경우는 워낙 사회적인 주목도가 높고 회사도 매우 적극적으로 대응을 해온 상황이어서 저희 내부적으로도 그럴 가능성을 염두에 두고 다른 건 보다 더 꼼꼼히 준비해왔고요 다른 한 편 저희 조직이 소송 예산이 사실은 굉장히 적습니다. 사실 올해의 경우 4억 남짓 예산이 있는데 그 예산이 거의 소진된 상태여서 예산 당국하고 열심히 협의하고 있습니다.
정슬기> 상대방에서는 기업이기 때문에 아무래도 대형 로펌을 선택할 텐데요. 거기에 대응하는 송무대응 지금도 말씀하셨듯이 자원이 부족하다고 하는데 그런 부분은 어떻게 채우실 생각이 있는지?
고학수> 저희 송무 팀을 올해 새로 만들었고요. 사실은 조직이 신생조직이고, 조직이 작아서 이런 저런 한계가 있긴 합니다. 그래서 송무팀도 새로 만들고 법률 전문가, 회계 전문가도 올해 새로 영입을 한 상태이고 말씀 드린대로 그런 조직, 예산 관계당국하고 계속 협의하고 있습니다.
정슬기> 소비자들의 경우에는 개인 정보유출 피해에 대한 공포심도 생겼을 거 같습니다. 어떻게 개인정보유출 방지를 위해서 노력을 해야할까요?
고학수> 이제 기억을 해보시면 지난 4월 말 5월에 문제가 밝혀졌을 때 유심대란 이런 것들이 일어났었죠. 심 카드를 새로 바꾸기 위해서 장시간 대리점에 줄 서고, 또 유심 보호 서비스를 가입하기 위한 노력들을 하고 그 과정에서 소비자들이 굉장히 불편을 많이 겪긴 했습니다만, 다른 한 편 이 건의 경우 유심카드 복제의 가능성 이런 거에 대한 우려도 논의가 되고 했던 시점이고 돌이켜 보면 그 당시 시점 기준으로는 번거롭긴 하지만 심카드를 바꾼다던가 유심보호서비스를 가입한다던가 이런 방식을 통해서 보호를 위한 노력을 하는 게 합당한 상황이었고요 지금시대에는 소비자가 번거로울 수 있지만 문제의 조짐이 보이면 스스로 관심을 가지고 노력하는 그런 자세가 많이 필요하고요. 다른 한 편 그렇게 해서 생긴 이런 저런 피해에 대해서는 저희 개인정보 조정제도가 있습니다. 그래서 저희 개인정보위원회의 분쟁조정위원회에 신청을 하시면 이미 집단분쟁 조정은 2천 명 정도 신청돼 있고 개인 차원에서는 6백 명 넘는 분들이 조정신청을 한 상태입니다. 지금도 원하시면 신청할 수 있는 상태입니다.
정슬기> 네 오늘 말씀은 여기까지 듣겠습니다. 감사합니다.
고학수> 네 고맙습니다.
<hr>
<투데이 모닝콜> 인터뷰 전문은 MBC뉴스 홈페이지(imnews.imbc.com)에서 확인할 수 있습니다.