개인정보보호위원회가 KT의 개인정보 유출 규모를 당초 관측보다 20% 이상 적은 1만6000명 수준으로 확정한 것으로 확인됐다. 과학기술정보통신부는 불법 펨토셀 접속 이력이 있는 2만2000여개를 피해 회선으로 특정했지만, 개보위는 법인용 회선을 개인정보 대상에서 제외했다. 피해 규모가 줄어들면서 제재 수위를 가를 위법성 경중 판단에 변수로 작용할 전망이다.
16일 업계에 따르면 개인정보보호위원회는 다음달 전체회의를 열고 KT 펨토셀 침해사고에 대한 최종 제재 수위를 결정할 예정이다.
KT는 지난달 사전통지서를 수령하고 이에 대한 소명자료와 의견 제출을 완료했다. 본지 취재 결과 개인정보위가 KT에 발송한 처분 사전통지서에 적시된 개인정보 유출 규모는 1만6000여명으로 파악됐다. 지난해 과기정통부 민관합동조사단은 불법 펨토셀 접속으로 인한 피해자 규모를 2만2227명으로 산출해 발표한 바 있다. 개보위 자체 산정 과정에서 수치가 28% 하향 조정된 것이다.
KT 개인정보 유출 규모가 줄어든 이유는 법인 회선과 중복 회선이 제외됐기 때문이다. 현행 개인정보보호법은 보호 대상을 살아있는 개인으로 엄격히 한정하고 있다. 펨토셀 접속 이력이 있는 단말 중 사물인터넷(IoT) 기기 등 법인용 회선은 법률상 개인정보에 해당하지 않아 이번 개보위 제재 대상에서 배제됐다.
현행법상 과징금은 관련 매출액에 위반행위의 중대성에 따른 부과기준율(최대 3%)을 곱해 산정한다.
법조계에서는 피해규모가 줄어들면서 과징금 규모를 결정짓는 핵심 지표인 위법성의 경중을 판가름하는 데 변수가 될 것으로 보고 있다. 이번 침해사고가 메인서버 유출이 아닌 통신장비(펨토셀)의 취약점을 파고든 국지적 사고라는 점에서 전체 무선 매출이 아닌 펨토셀 접속 이력이 있는 가입자 모수를 별도로 산출할 경우 관련 매출 기준액이 대폭 줄어들 수 있다.
중대성 판단은 안전성 확보 조치 이행 노력뿐 아니라 위반행위로 인한 정보주체의 피해 규모 등을 종합적으로 고려해야 한다. 수천만 명의 데이터 유출이 확인된 쿠팡·SK텔레콤 등 사례와 비교하면 비례성 원칙 측면에서 높은 기준율을 부과하기 어렵다는 관측도 제기된다.
다만 앞서 쿠팡이 6000억원이 넘는 역대 최대 과징금 처분을 받으면서 개인정보 유출 기업에 대한 금전적 징벌 제재 기조가 확인된 만큼 KT 역시 긴장의 끈을 놓지 않고 있다. 사고 성격과 규모 측면에서 동일한 규제 잣대를 적용하기 어렵다는 게 법조계 중론이지만, 자칫 국내외 기업 간 차별 문제로 비화할 수 있는 만큼 규제 당국도 제재 수위 결정에 신중한 모습이다.
송경희 개인정보위원장은 제11회 전체회의 브리핑에서 “KT건은 이미 사전통지가 됐고 현재 의견 제출을 받아 검토 중”이라며 “조만간 처분을 내릴 것”이라고 밝혔다.
박준호 기자 junho@etnews.com
