▲ 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다. <사진=연합뉴스>

[토요경제 = 최영준 기자] 개인정보보호위원회가 SK텔레콤에 역대 최대 과징금 1347억9100만원을 부과하면서 논란이 커지고 있다. 위원회는 가입자 인증에 필수적인 정보가 평문으로 저장되는 등 SKT의 관리 소홀을 ‘매우 중대한 위반행위’로 규정했지만 일각에서는 과한 처사가 아니냐는 목소리도 나오고 있다.

지난 4월 SKT는 홈가입자인증서버(HSS)가 해킹돼 전체 이용자 2324만여명의 휴대전화번호, IMSI, 유심 인증키 등 25종의 정보가 유출됐다.

조사 결과 해커는 2021년 침투 이후 수년간 내부망에 잠복하며 고도화된 APT(Advanced Persistent Threat) 기법으로 정보를 빼갔다. BPFDoor와 같은 은밀한 백도어가 활용돼 기존 보안체계로는 탐지가 쉽지 않았던 것으로 드러났다.

전문가들은 이번 사태를 단순한 기업 보안 실패가 아니라 국제적 정보전의 일부로 봐야 한다는 입장이다.

고려대 정보보호대학원 이경호 교수는 최근 세미나에서 “APT는 개인 해커가 아닌 국가 또는 조직적 배경을 가진 세력이 장기간에 걸쳐 수행하는 공격”이라며 “기업 중심 대응 체계를 넘어 국가 주도의 포괄적 방어 체계 구축이 시급하다”고 강조했다.

징벌적 과징금의 실효성에 대한 문제도 제기된다. 한국정보보호산업협회에 따르면 지난해 침해사고를 경험한 기업 중 신고 비율은 19.6%에 불과했다. 과도한 제재가 오히려 기업의 신고와 정보 공유를 위축시켜 보안 대응력을 떨어뜨린다는 분석이다.

유럽연합(EU)은 보완 조치를 성실히 이행한 기업에 과징금을 최대 90%까지 감경했고, 미국 역시 AT&T·T모바일 개인정보 유출 사건에서 각각 170억~220억원 수준의 제재에 그쳤다.

반면 SKT에 부과된 1348억원은 구글(692억원), 메타(300억원대)보다 훨씬 크다. 업계에선 “구글·메타는 영리 목적을 가지고 개인정보를 활용했지만, SKT는 해킹 피해 기업이라는 점에서 형평성 논란을 피하기 어렵다”는 반발도 나온다.

SKT는 “이번 결과에 무거운 책임감을 갖고있다”며 “개인정보 보호를 모든 경영활동의 핵심 가치로 삼고 향후 5년간 7000억원을 투입해 보안 역량을 근본적으로 강화하겠다”고 밝혔다.

회사는 고객 안심 패키지와 보상 패키지를 포함한 ‘책임과 약속’ 프로그램도 추진 중이다.

보안업계 한 전문가는 “엄중한 제재만이 능사가 아니다”라며 “동일한 사고 재발을 막고 피해 확산을 최소화할 수 있는 제도와 국가 차원의 대응 체계가 마련돼야 한다”고 말했다.

토요경제 / 최영준 기자 cyj@sateconomy.co.kr 

[ⓒ 토요경제. 무단전재-재배포 금지]