‘2324만 명’ 털렸는데 “우리 잘못은 아니잖아” - “벌금 절대 못 내” 거부

형평성 논란 법정 대결로

SK텔레콤이 국내 개인정보 유출 사건 사상 최대 규모의 과징금 1348억원에 정면 도전장을 냈다.

19일 업계에 따르면 SKT는 개인정보보호위원회가 부과한 과징금 1347억9100만원에 대한 취소 소송을 서울행정법원에 제기했다.

행정소송법상 제기 기한인 20일을 하루 앞두고 내린 결정으로, 법무법인 김앤장을 대리인으로 선임해 본격적인 법정 공방에 돌입했다.

개인정보위는 지난해 8월 SKT 해킹 사고로 2324만4649명의 휴대전화번호, 가입자식별번호, 유심 인증키 등 25종의 정보가 유출된 것으로 조사했다.

보안 조치 미흡, 개인정보 유출 통지 지연 등을 근거로 사안을 ‘매우 중대’로 판단하고 사상 최대 과징금을 결정했다.

이번 소송의 핵심은 과징금 산정 기준의 형평성 문제다. SKT는 고의적·영리 목적의 개인정보 활용이 인정된 구글(692억원), 메타(308억원) 사례보다 오히려 높은 과징금이 부과된 점을 문제 삼을 것으로 보인다.

더욱 논란이 되는 것은 같은 통신사인 LG유플러스와의 비교다. LG유플러스는 2023년 약 30만명의 개인정보 유출로 68억원의 과징금을 받았다.

당시에는 유출된 시스템과 관련된 서비스 매출만을 기준으로 과징금이 산정됐다. 반면 SKT는 LTE·5G 전체 개인 고객 매출이 기준이 되면서 과징금 규모가 약 20배로 불어났다.

2023년 9월 개정된 개인정보보호법이 적용되면서 과징금 산정 기준이 ‘위반 행위 관련 매출의 3%’에서 ‘전체 매출의 3%’로 변경된 것이 결정적이었다.

다만 사업자가 관련 없는 매출임을 입증하면 제외할 수 있는데, SKT의 경우 메인서버인 홈가입자서버가 해킹되면서 매출 범위가 넓게 적용됐다.

SKT는 해킹 사고 이후 보상안과 정보보호 혁신안 마련에 총 1조2000억원을 투입한 점을 강조할 것으로 전해졌다. 유출로 인한 실제 금융 피해가 없었다는 점도 감경 사유로 제시할 방침이다.

업계에서는 이번 소송이 국내 개인정보 유출 사고에 대한 과징금 산정 기준에 중요한 판례를 남길 것으로 보고 있다.

SKT 측은 “개인정보위의 과징금 처분에 대해 법원의 면밀한 판단을 받아보고자 한다”며 신중한 입장을 밝혔다.

한편 이번 사건은 SKT가 4월19일 해킹을 인지한 후 5월9일 ‘유출 가능성’을 통지하고, 7월28일에야 ‘유출 확정’을 공식 발표하면서 통지 지연 논란도 불거졌다.

개인정보위는 “법에서 규정한 최소한의 의무조차 이행하지 않았다”며 유출 통지 지연도 제재 이유로 명시했다.

12월 9일에는 경찰은 압수수색 돌입하며 강제수사에 착수했다. 서울경찰청 사이버수사과는 9일 오전 송파구 쿠팡 본사에 수사관 17명을 투입해 압수수색을 벌였다. 전담수사팀장인 사이버수사과장(총경급)까지 현장에 나섰다. 

하지만 범인 검거는 난항이 예상된다. 중국은 자국민을 타국으로 넘기지 않는 관행이 강해 신병 확보가 어려울 수 있다.다만 올해 8월 한국에 중국인 해커가 인도된 전례가 있어 가능성은 열려 있다.

이것뿐 아니라 국가기관, SK텔레콤 모두 털렸는데 쿠팡만 보여주기식 압수수색. 보여주기쇼가 목적인게 뻔히 보이는게 범죄자 검거하면 다 나오는데 중국에 국제공조 수사를 적극적으로 요청했다는 내용은 하나도 안나오지.  

앞서 지난 8월 미국 해킹 전문 매체인 프랙매거진(Phrack Magazine)은 행안부·외교부·통일부·해양수산부 등 중앙부처를 비롯해 KT·LG유플러스 등 한국의 이동통신사, 다음·카카오·네이버 등 민간기업이 해킹당한 흔적이 있다고 주장했다. 이후 정부는 2달가량 침묵하다 뒤늦게 이 보도가 사실이라고 인정한 것이다.

국정원·행안부에 따르면, 해커는 지난 2022년 9월부터 지난 7월까지 3년가량 온나라 시스템에 접속해 정부 자료를 열람했다. 해커들은 인증서 6개와 패스워드, 국내외 IP 6개를 이용해 정부원격근무시스템을 통해 합법적 사용자인 것처럼 각 부처 시스템에 접속한 것으로 나타났다. 

SK텔레콤 해킹에 대한 민관 합동 조사단의 2차 조사 결과 해킹이 3년 전부터 벌어졌다는 사실이 드러났고, 중국계로 추정되는 해커 집단의 공격 가능성이 제기됐다. 이름·생년월일·전화번호·이메일·주소 등 개인 정보 유출 가능성도 추가로 밝혀졌다. 가장 충격적인 점은 악성 코드에 감염된 것이 3년 전이었다는 사실이다. 해커는 3년간 우리를 지켜보고 있었다.

이번 해킹 사고는 돈을 노리는 사이버 범죄와는 다른 양상을 보인다는 점에서 심각하다. 아직 해킹 세력을 특정할 수는 없지만, 서버에서 발견된 악성 코드는 중국 해커 집단이 몇 년 전부터 중동·아시아 지역 통신사를 공격할 때 주로 사용한 것과 일치했다. 얼마 전에도 중국 해커 조직 ‘레드 멘션’이 이 악성 코드를 이용해 한국·홍콩·미얀마·말레이시아·이집트 등의 통신·금융·유통 산업에 대한 사이버 스파이 활동을 벌였다는 글로벌 보안 업체 보고서가 나오기도 했다.

과연 지금 압수수색 보여주기 쇼를 하기전에 위에 언급된 해킹 사례들의 해커부터 제대로 잡았는지 확인해볼까?중국발 해커는 잡을 수도 없는 세상 인가? 기업들을 털기전에 정부 온나라 시스템 담당 했던 공무원들부터 탈탈 털어야지 ? 압수수색은 했나? 

하여튼 이중잣대 내로남불 쇼에 온 국민들을 속이면서 정작 제일 중요한 정부 기관 고위 책임자들, 해킹한 범죄자들은 뒤로 빠지면서 상황은 나아지지 않는 것 같아 답답하다.  중국에 범죄자 인도 안한다고 항의는 했나?