방송통신위원회(위원장 최성준, 이하 방통위)가 KT 개인정보유출에 대해 “개인정보법규 위반과 상당한 인과관계가 있다”며 “KT의 중대한 과실이 있었다”는 결론을 내렸다. KT에는 과징금 7000만원과 과태료 1500만원을 부과하도록 했다. 총액으로는 1억 원도 안 되 '솜방망이 처분'이라고 할 수도 있다. 하지만 방통위의 이번 행정처분은 의미가 가볍지 않다. 정부가 개인정보유출에 대해 기업의 낮은 보안 상황 때문이라는 결론을 내린 것은 이번이 처음이다.

방통위의 KT ‘과징금’ 처분이 중요한 이유…손해배상 소송에 영향 줄 것

방통위는 앞서 있었던 옥션과 SK커뮤니케이션즈(네이트·싸이월드, 이하 SK컴즈)의 경우 기업의 책임은 과실여부에 대해 판단하지 않았다. 이 같은 방통위의 결정은 개인정보 유출 피해자들의 손해배상소송 재판에도 번번이 영향을 줬다. 기업 과실 여부는 오로지 재판부의 판단에 맡겨진 것이다. 특히, 방통위는 SK컴즈에 대해 보안 전문가 등과 조사단을 구성하고 기업의 과실여부에 대해 판단하겠다고만 했을 뿐 그 이후 상황은 드러나지 않고 있다.

▲ 최성준 방통위원장의 모습ⓒ연합뉴스

법원은 지난 2003년 옥션의 개인정보 유출 사고에 대해 피해자들의 위자료 청구를 ‘기각’했다. 개인정보 유출에 대한 기업의 과실을 인정하지 않은 것이었다. SK커뮤니케이션즈의 경우, 법원과 방통위의 결론이 달랐었다. 법원은 “3500만 건의 개인정보가 10기가 크기로 외부망으로 유출되는데 SK컴즈가 이상 징후로 탐지하지 못했다”며 “SK컴즈가 기업형 알집보다 보안상 취약한 공개용 알집을 사용했다”고 판결하며, 회사 측의 과실을 인정해 피해자들에게 위자료 20만 원을 지급하라며 원고 일부승소 판결을 내렸다. 현재 사건은 항소심 중이다. 만일, 죄종 판결에서 뒤집히지 않는다면 방통위는 ‘봐주기’ 결정을 한 것이 된다.

따라서 이번 KT의 경우, 주무 행정부처인 방통위가 개인정보 유출의 책임이 기업에 있다는 점을 인정했단 점에서 향후 전개될 손해배상 소송의 양상 역시 달라질 것으로 보인다. '기업의 과실'이 명백하다면, 책임 소재 역시 분명해지기 때문이다. KT가 채 1억 원도 안 되는 행정처분을 막기 위해 대형로펌 '김앤장'까지 동원한 이유 역시 여기에 있다. ‘전문해커에게 당했다’는 것과 '해킹 여부와 상관 없이 기업의 과실이 있다'는 천지 차이이기 때문이다.

방통위 조사 결과, 고객의 개인정보를 보호하기 위한 KT의 조치는 그야말로 ‘허술’ 그 자체였다. KT의 보안시스템은 한 IP에서 하루 34만여 건의 접속이 이뤄졌지만 이를 전혀 이상징후라고 판단하지 못했다. 또, 타인의 개인정보 역시 고객서비스계약번호 9자리만 알고 있다면 별도의 인증단계 없이 확인이 가능할 정도로 허술했다. 퇴직자의 ID로 외부 인터넷으로 사내망 접속이 가능했고, 보안의 기본이라고 할 수 있는 ‘암호화’ 조치도 없었다. 한 방통위 관계자는 “개인정보보호법규 위반으로 과징금을 받은 사업자들 중 대기업에 꼽히는 곳은 KT밖에 없다”고 설명할 만큼 ‘저열한’ 수준을 보였다.

‘소송대리’ 경실련 윤철한 국장, “방통위 의결은 재판에도 영향 미칠 것”

경제정의실천시민연합(이하 경실련)은 방통위가 행정처분을 내린 날(26일), 기자회견을 열어 개인정보 유출에 대한 KT의 책임을 묻는 손해배상소송을 제기하겠다고 밝혔다. 소송인단에는 KT 개인정보 유출 피해자 2796명이 참가했다. 방통위의 KT 과실 인정으로 손해배상 소송은 일단 유리한 상황이라는 게 전문가들의 설명이다.

▲ 3월 18일 오전11시 KT광화문 사옥 앞에서 경실련이 기자회견을 열어 'KT개인정보 유출 공익소송을 진행한다'고 밝혔다ⓒ미디어스
경실련이 제기한 손해배상금은 1인당 100만 원으로 만약, KT가 패소한다면 총 27억9600만 원을 배상해야 한다. 그런데 문제는 여기서 끝이 아니다. 이번 KT 개인정보 유출 피해자는 981만8704명(1170만8875건 중 중복제외)이다. 사실상 KT 입장에서는 이번 손해배상 소송 결과에 따라, 최대 9조8187억0400만원까지 배상할 수도 있다. KT의 지난 2014년 1분기 매출이 5조8461억 원이었던 점을 감안하면 천문학적 액수다.

경실련 윤철한 소비자정의센터 국장은 “방통위가 KT의 잘못을 그대로 인정했다는 것 자체가 큰 의미”라며 “정부가 기업의 개인정보 보호책임을 정확히 물은 것은 이번이 최초”라고 의미를 부여했다. 윤 국장은 “방통위가 그 전에는 개인정보 유출 그 자체에 대해서만 제재를 하고, 그 인과관계에 대해서는 판단하지 않았었다”며 “하지만 KT의 이번 결과는 차이가 크다. 방통위가 ‘KT의 과실’에 대해 자신있다는 결론을 내린 셈인데, 이는 법원 판결에도 큰 영향을 미칠 것”이라고 전망했다.

윤철한 국장은 “기업들이 개인정보보호 의무를 제대로 하지 않아 발생한 개인정보 유출에 대해 그동안 소비자들은 권리구제를 받지 못했었다”며 “KT에 대한 손해배상 공익소송(손해배상)을 통해 피해자가 직접 기업에 책임을 묻는 선례를 만들겠다”고 밝혔다.

※KT 개인정보 유출 피해자 공익소송 : 경실련은 1차 소송인단 2794명으로 손해배상소송을 제기했다. 이와 관련해 자세한 사항은 경실련 소비자정의센터(765-9732, 3673-2146)를 통해 문의하면 된다.

※관련기사※
- 최악의 개인정보 유출, "KT의 기술적 보호조치 미비가 원인”
- 최악 개인정보 유출 KT, “해킹 100% 막을 수 있냐” 강변
- KT 개인정보 유출 피해자들 ‘공익’소송 진행한다

저작권자 © 미디어스 무단전재 및 재배포 금지