“역대급 개인정보 유출에 1348억”…SKT 과징금 논란, 제도 전환 신호탄

개인정보보호법 위반으로 1348억원의 과징금 처분을 받은 SK텔레콤 사례가 정보보호 규제와 기업 책임 논쟁의 분기점이 되고 있다. LTE·5G 가입자 2300만 명의 유심 인증키, 가입자식별번호(IMSI) 등 중요 정보가 해킹을 통해 대규모로 유출된 이번 사건은 업계 전반에 개인정보 보호의 기준과 제재 방식에 관한 문제를 제기한다. 징벌적 과징금 중심의 규제 기조가 해킹 피해 기업의 자발적 신고 동기를 떨어뜨릴 수 있다는 우려도 높아진다.

개인정보보호위원회는 SK텔레콤에 정보보호 관리 소홀 책임을 물어, 1347억9100만원의 과징금과 960만원의 과태료를 부과했다. 사고 규모는 LTE·5G 전체 이용자 2324만 명, 유심 인증키와 가입자식별번호(IMSI) 등 25종의 정보가 포함됐다. 휴대전화가 각종 플랫폼의 본인 인증 수단이 된 만큼, 유심과 관련한 민감정보 유출 사태는 이동통신 신뢰도와 사회적 안전 측면 모두에 중대한 영향을 준다. 조사 결과, SK텔레콤은 수천 대 서버의 계정정보와 민감 데이터를 내부망에서 적절한 통제 없이 평문 저장했고, 주기적 보안 업데이트나 암호화 조처도 부재했던 것으로 드러났다.

과징금 규모를 둘러싸고 산업계·법조계에서는 형평성과 실효성 논란이 확산되고 있다. 구글이 동의 없는 개인정보 광고 활용으로 받은 692억원의 과징금 대비, 해킹 피해 상황의 SK텔레콤이 두 배 가까운 제재를 받은 점이 대표적이다. 동일한 통신사 내 유사한 사고에서도 적용 기준이 일관되지 않고, 미국·일본 통신사 사례 역시 국내 대비 과징금 수준이 현저히 낮다. SK텔레콤 역시 실질적 2차 피해나 금전적 이득 없이 전방위적 시정조치, 피해보상을 병행했음에도 전체 매출액 기준 징벌적 과징금이 적용됐다.

관련 법령상 과징금은 매출의 3% 이내로 산정되지만, 해킹 신고 시 정부가 과태료 외에도 대규모 금전적 책임을 묻는 형식은 자발적 신고와 조기 대응 유인을 약화시킬 수 있다. 실제로 지난해 사고 신고율은 19.6%에 그쳤다. 반면 영국 등 주요국은 유출 사실 신속 보고와 보안 조치 시행 시 과징금을 최대 90%까지 감면하는 방식을 도입, 신고 활성화를 유도하고 있다.

전문가들은 “과징금 중심의 징벌적 제재에서 벗어나 관리체계 개선과 재발 방지 대책 중심으로 규제 패러다임을 전환할 필요가 있다”고 지적한다. 법적 책임과 동반된 기업의 해킹 피해자 지위, 글로벌 규제 조화, 기술적 보안 수준의 객관적 평가 등이 함께 논의돼야 한다는 분석이다. “매출액 연동식 과징금은 단기 충격 효과는 있지만, 본질적 재발방지책으로는 미흡하다”는 지적과 더불어, 과도한 처벌이 오히려 해킹 신고 의지를 떨어뜨릴 수 있다는 우려도 나온다.

산업계는 대규모 정보유출 사태 이후 자율시정, 정보보호 혁신 등이 실효적으로 정착할 수 있도록 제도 설계를 재정비할 필요가 있다고 본다. “국내 개인정보보호 체계가 실제 산업 환경과 글로벌 기준 양쪽 모두에 걸맞은 균형점을 찾아가야 한다”는 의견이 힘을 얻고 있다. 기술과 윤리, 산업과 제도 간 균형이 새로운 성장의 조건이 되고 있다.