“국제 기준 앞둔 SK텔레콤 해킹”…개인정보위 제재 수위 촉각

SK텔레콤 해킹 사고에 대한 개인정보보호위원회의 제재 결정 시점이 임박하며 IT·보안 산업 전반이 긴장감에 휩싸이고 있다. 지난 4월 해킹이 신고된 이후, 개인정보위는 SK텔레콤의 개인정보 유출 가능성 및 보호조치 위반 여부를 자체 태스크포스(TF)를 통해 정밀하게 조사해왔다. 업계에서는 이번 발표를 ‘국내 개인정보 규제 체계의 변곡점’으로 보고 있다.  

현재 개인정보위는 SK텔레콤 및 관계사로부터 수집한 증적 자료 분석을 통해, 실제 유출된 개인정보 범위와 피해 규모, SK텔레콤의 기술적·관리적 보호조치가 법적 기준을 충족했는지 여부를 최종 점검 중이다. 위원회가 절차상 조사 결과서를 정리하고 사업자 소명 등 공식 절차를 밟으면, 이르면 8월 말 열릴 전체회의에서 제재 수위가 결정될 것으로 보인다.  

특히 9월 서울에서 열리는 국제 개인정보 감독기구 협의체(GPA) 총회를 앞둔 시점이라는 점에서, 이번 사건에 대한 국내외적 관심이 집중된다. GPA는 89개국 137개 공식 감독기관이 참여하는 이 분야 최대 국제기구로, 올해 총회는 ‘일상화된 인공지능(AI) 시대의 개인정보 이슈’를 주제로 한다. 개최국인 한국의 감독 역량과 처분 수위, 절차적 투명성 등이 글로벌 개인정보보호 분야의 신뢰도에 영향을 줄 전망이다.  

과징금 산정 역시 업계의 주요 관심사다. 개정된 개인정보보호법에 따라, 침해가 드러날 경우 관련 매출이 아닌 전체 매출액의 3%까지 과징금이 부과될 수 있다. SK텔레콤의 지난해 매출을 기준으로 하면 이론상 약 5300억원에 달하는 제재가 산출된다. 다만, 실제 침해 범위와 관련 없는 매출을 기업이 적극 소명한다면 금액은 대폭 줄어들 수도 있다.  

글로벌 시장에서는 이미 GDPR 등 엄격한 개인정보보호제도를 도입한 사례가 잇따르고 있다. 미국, EU, 일본 등은 해킹 및 대규모 유출 사고 발생시 기업의 법적·재정적 책임을 높이고 있다. 전문가들은 “한국 역시 이번 SK텔레콤 건을 계기로 강력한 제재와 절차적 투명성을 동시에 확보할 필요가 있다”고 지적한다.  

산업계는 이번 개인정보위 처분이 미래 IT·바이오 산업의 전사적인 정보보호 기준을 정립하는 계기가 될지, 실제 시장에 어떤 영향이 미칠지 주시하고 있다.