▲ 사과하는 유영상 SKT 대표 <사진=연합뉴스>

[토요경제 = 최영준 기자] 개인정보보호위원회가 SK텔레콤 해킹사고와 관련한 제재 수위를 27일 확정한다. 이번 회의에서 과징금 규모가 역대 최대치에 이를 수 있다는 전망이 나오면서 업계 긴장감이 고조되고 있다.

지난 4월 SK텔레콤 홈가입자인증서버(HSS)가 해킹되며 통합고객시스템(ICAS) 등 총 28대 서버가 감염됐다. 이 과정에서 전화번호·IMSI·인증키 등 불법 유심 복제에 활용 가능한 민감정보를 포함해 총 25종, 2696만건이 유출됐다.

핵심 쟁점은 유출된 IMSI가 개인정보로 볼 수 있느냐다.

직접 식별은 어렵다는 시각과 피해 발생 가능성을 고려하면 개인정보로 해석해야 한다는 주장이 맞선다.

여기에 IMSI가 암호화되지 않은 점을 개인정보위가 과실로 판단할 경우 징벌적 과징금 부과로 이어질 수 있다는 분석이 제기된다.

업계 관계자는 “3GPP 표준상 IMSI 암호화는 권고 사항이지 의무가 아니며 속도 저하 문제 때문에 적용이 제한돼왔다”며 “관행도 감안할 필요가 있다”고 말했다.

과징금 산정에서 또 다른 쟁점은 매출 범위다. 개인정보보호법은 전체 매출의 최대 3%까지 과징금을 부과할 수 있도록 규정한다.

SK텔레콤의 지난해 별도 기준 매출은 12조7741억원, 이동통신 매출만 놓고 봐도 10조6700억원에 달한다. 최대치가 적용될 경우 과징금 규모는 약 3800억원으로 앞서 구글에 부과된 692억원을 크게 웃돌게 된다.

다만 SK텔레콤이 사고 직후 내놓은 후속조치가 감경 요인으로 작용할 가능성도 크다.

회사는 단기 실적보다 고객 신뢰 회복을 우선시한다며 ‘책임과 약속’ 프로그램을 발표했다. 이 안에는 ▲고객 피해 방지를 위한 안심 패키지 ▲5년간 7000억원 규모의 정보보호 투자 ▲전 국민 대상 보상 패키지가 담겼다. 또한 ISMS 인증 등 기존의 보안관리체계도 평가 대상에 포함될 전망이다.

업계에선 의견이 갈린다. “국민적 관심이 큰 사건인 만큼 강력 제재가 필요하다”는 목소리와 함께 “수천억대 과징금은 업계 전반을 위축시킬 수 있다”는 우려가 공존한다.

보안사고가 기업 관리 부실만으로 설명되지 않는 만큼 일벌백계식 처벌만으로는 근본적 해법이 되지 못한다는 지적도 나온다.

개인정보위는 최근 세미나에서 ‘엄중 처벌’을 예고했다. 과징금 산정 과정에서 후속조치와 관행이 어느 정도 반영될지가 최종 변수로 작용할 전망이다.

토요경제 / 최영준 기자 cyj@sateconomy.co.kr 

[ⓒ 토요경제. 무단전재-재배포 금지]