CloudPNG

ºC

logo
IT/바이오

개인정보 유출 조정 앞둔 SKT·KT…당국, 법 절차 재점검 분수령

장예원 기자
입력

통신사 대규모 개인정보 유출 사고를 둘러싼 법적·제도적 긴장이 고조되고 있다. 인공지능 기반 고객 분석과 대규모 데이터 처리에 의존하는 통신 산업에서 보안 사고가 반복되자, 개인정보보호위원회가 분쟁조정과 직권조사를 병행하며 책임 범위를 다시 세우는 국면으로 접어든 모습이다. 업계에서는 이번 조정과 제재 절차가 향후 통신·플랫폼 사업자의 보안 투자를 규정하는 ‘규제 기준점’이 될 수 있다는 관측이 나온다.

 

이정렬 개인정보보호위원회 부위원장은 20일 기자들과 만나 SK텔레콤 개인정보 유출 사건과 관련된 분쟁조정 절차와 KT 유출 사고에 대한 직권조사 진행 상황을 설명했다. 이 부위원장은 SK텔레콤 건에 대해 조정안 수락 여부 회신을 기다리는 중이며, KT 건은 사실관계를 계속 확인하는 단계라고 말했다.

SK텔레콤 사건은 개인정보보호분쟁조정위원회가 지난 3일 심의한 3998건의 분쟁조정 신청에서 구체적인 배상 기준을 제시한 것이 특징이다. 분쟁조정위는 SK텔레콤을 상대로 신청된 사건을 검토한 결과, 신청인 각각에게 30만원의 손해배상금을 지급하도록 하고, 개인정보 보호조치 강화를 권고하는 조정안을 의결했다.

 

조정위는 SK텔레콤이 개인정보보호법상 보호조치 의무를 다하지 못해 25종에 달하는 개인정보가 유출됐다고 판단했다. 유출 항목이 다수인 만큼 휴대폰 복제에 악용될 수 있다는 불안, 유심 교체 과정에서 발생한 혼란과 서비스 이용 불편에 따른 정신적 손해를 인정해 배상액을 산정했다는 설명이다. 기술적으로 통신사는 가입자의 식별번호, 위치정보, 이용 패턴 등 고위험 데이터까지 처리하는 만큼, 보호조치 의무 위반 판단은 향후 유사 사건의 기준이 될 소지가 크다.

 

분쟁조정위는 지난 5일 신청인과 SK텔레콤에 조정안을 통지했으며, 15일 이내 수락 여부를 확인할 계획이다. 조정 제도상 당사자 어느 한쪽이라도 조정안을 수락하지 않으면 조정은 불성립으로 종료된다. 다만 현행법상 수락 간주제가 적용돼 정해진 기한 안에 명시적인 거부 의사 표시가 없으면 수락한 것으로 본다.

 

이정렬 부위원장은 조정 구조에 대해 신청인과 피신청인이 존재하고, 피신청인은 조정안을 거부할 수 있는 체계라고 설명했다. 이어 법에 따라 15일 이내 거부 의사를 밝힐 수 있도록 돼 있어, 답변이 접수되면 그 내용에 맞춰 후속 절차를 진행한다고 했다. 현재는 수락 간주제의 기한 내에 있어 SK텔레콤의 회신 여부가 조정 성립의 분수령이 되는 상황이다. 통신사가 대규모 집단 조정안을 수용할 경우, 이후 개인정보 집단 분쟁에서 배상액과 책임 범위에 대한 사실상 ‘가이드라인’이 형성될 수 있다는 평가가 나온다.

 

KT 개인정보 유출 사건에 대해서는 아직 구체적인 제재 수준 언급을 자제했다. 이 부위원장은 사실관계를 계속 확인 중이라고만 밝히며 신중한 태도를 유지했다. 개인정보보호위원회는 9월 KT를 상대로 직권조사에 착수했고, 현재 과학기술정보통신부 민관 합동조사단과 경찰 등과 공조해 조사를 진행하고 있다.

 

위원회는 KT로부터 제출된 자료를 면밀히 검토하는 동시에, 자체 자료 확보와 현장 확인 등 별도 조사도 병행하고 있다. 통신망 구조, 접근 권한 관리, 이상 징후 탐지 시스템 등 기술적·관리적 보호조치가 개인정보보호법이 요구하는 수준에 부합했는지가 핵심 쟁점이 될 것으로 보인다. 데이터 암호화와 로그 관리, 외주 인력 접근통제 같은 세부 항목도 조사 대상에 포함될 수 있다.

 

이 부위원장은 필요한 부분에 대해 과학기술정보통신부와 긴밀히 협의하고 있다며, 조사 결과에 따라 법이 정한 대로 처리하겠다고 말했다. 개인정보보호법 위반이 확인될 경우 과징금, 시정명령, 형사 고발 등 다양한 제재 수단이 적용될 여지가 있다. 특히 대형 통신사의 반복 사고로 평가될 경우, 단일 사건을 넘어 통신 산업 전반의 보안 기준 상향과 추가 입법 논의로 번질 가능성도 제기된다.

 

전문가들은 SK텔레콤 분쟁조정과 KT 직권조사가 통신사와 빅테크 기업의 개인정보 리스크 관리 수준을 가늠하는 시험대가 될 것으로 본다. 데이터 수집과 활용을 기반으로 한 5G, 클라우드, 인공지능 서비스가 확장되는 만큼, 사고 이후 사후제재 중심에서 사전 예방 중심으로 규제 프레임이 이동할 수 있다는 전망도 나온다.

 

통신업계에서는 대규모 배상과 제재가 현실화될 경우 정보보호 인력 확충과 보안 인프라 투자가 확대되는 한편, 추가적인 사업비 부담이 불가피하다는 반응도 감지된다. 반대로 이용자 단체는 유출 피해에 대한 실질적인 보상과 재발 방지를 위해 보다 강한 책임 부과가 필요하다는 입장을 유지하고 있다.

 

개인정보위가 SK텔레콤 조정안을 어디까지 이행시키고, KT 직권조사 결과를 어떤 제재와 개선 권고로 연결할지에 따라 통신사 보안 의무의 실질적 기준선이 다시 그려질 수 있다. 산업계는 이번 조정과 조사 결과가 실제 시장 규범으로 안착할지 예의주시하고 있다.

장예원 기자
share-band
밴드
URL복사
#개인정보보호위원회#sk텔레콤#kt