개보위, 과징금 부과 가능성...보안조치 충분했나 여부
피해보상 못 받은 KT 사례...자발적 피해보상은 가능
[서울=뉴스핌] 김지나 기자 =18만명의 개인정보를 유출한 LG유플러스에 대해 경찰 수사 및 인터넷진흥원·개인정보보호위원회(개보위)가 조사에 나선 가운데, 해커의 해킹을 통한 유출 가능성에 무게가 쏠린다.
만약 개인정보 유출 원인이 해킹으로 밝혀질 경우, 과징금 부과 및 개인정보 유출 고객에 대한 피해 보상의 관건은 해커 침입을 막기 위한 충분히 보안조치를 했는가가 될 것으로 보인다.
◆LG U+, 안전성 확보 조치 충분히 했나?
11일 업계에 따르면 10일 LG유플러스는 홈페이지 공지를 통해 "일부 고객의 개인정보가 유출된 사실을 인지했다'면서 "소중한 정보가 부적절하게 이용될 수 있으니 유의해 주기 바란다"고 밝혔다. LG유플러스가 추산한 개인정보 유출 고객 수는 18만명으로 이름과 생년월일, 전화번호 등이 빠져나간 것으로 파악됐다.
[서울=뉴스핌] 이한결 기자 = 지난 2020년 5월 11일 LG유플러스 용산사옥 전경. 2020.05.11 alwaysame@newspim.com |
이와 관련해 한 언론매체는 지난 2일 해킹포럼에서 LG의 데이터를 판매한다는 해커의 게시 글을 확인했다고 보도했다. 만약 이것이 사실로 확인될 경우, LG유플러스가 개인정보가 해킹으로 유출되지 않도록 안전성 확보를 위한 보안 등의 조치를 충분히 했는지가 과징금 부과 기준이 된다.
개인정보보호법 제29조 안전조치의무에 따르면 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 않도록 내부 관리계획을 수립하고 접속기록 보관 등을 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야 한다.
만약 이 조치가 제대로 이뤄지지 않을 경우 개보위 측은 LG유플러스에 매출의 100분의 3 이하에 해당하는 과징금을 부과할 수 있다.
개보위 관계자는 "만약 해커가 주장하듯 해킹이 됐다고 한다면 안전조치 의무를 제대로 했는지 알아보게 된다"면서 "만약 그것이 문제가 된다면 29조 위반으로 과징금 부과가 가능하다"고 설명했다.
과거 비슷한 사례로 KT는 방송통신위원회로부터 과징금을 부과 받았던 사례가 있다. KT는 2013년 8월부터 2014년 2월 사이 당시 마이올레 홈페이지가 해킹당해 이름·주민등록번호 등 모두 1170만여건의 고객 개인정보를 유출 당했다. 또 다른 해커의 침입으로 8만3000건의 개인정보가 추가로 유출되는 사건도 있었다.
이에 방통위는 2014년 6월 "KT가 개인정보 보호 조치를 충분히 하지 않았다"며 7000만원 상당의 과징금을 부과했고, KT는 방통위 처분에 불복해 행정소송을 내 승소했다. 이후 개인정보보호 업무를 이관 받은 개보위 측은 2021년 원처분보다 2000만원 감액된 5000만원 과태료 처분을 내렸다.
◆피해고객 보상? LG U+ 자발적 보상과 분쟁조정
[서울=뉴스핌] 김학선 기자 = 고학수 개인정보보호위원회 위원장이 19일 서울 종로구 정부서울청사에서 열린 제17회 개인정보보호위원회 회의를 주재하고 있다. 2022.10.19 yooksa@newspim.com |
개인정보가 유출된 이용자들에 대한 피해보상에 대한 방법은 두 가지다. LG유플러스가 자발적으로 피해보상을 하는 방법과 개보위 위에 있는 분쟁조정위원회를 통해 개인 혹은 집단으로 분쟁조정을 하는 방식이다.
KT의 경우 2013년 개인정보가 유출된 후 분쟁조정위원회는 KT에 대해 피해자들에 10만원씩 배상하라는 내용의 조정안을 내놨다. 하지만 이에 KT 측은 수락하지 않고 민사소송으로 대응했다. 하지만 개인정보 유출 소송 대부분은 피해자들의 패소로 일단락됐다.
당시 피해자 소송을 담당했던 한 변호사는 "당시 재판의 관건은 해커의 해킹 기술이 불가항력적이었는가였는데, 우리의 주장은 조잡한 해킹 프로그램으로 KT가 노력했다면 충분히 막을 수 있었다는 것"이었다며 "KT는 당시 기술 상황으로 해킹을 막을 보안시스템을 갖추기 어렵다고 주장했고, 결국 재판장은 KT에 손을 들어줬다"고 설명했다.
그는 이어 "지금은 그 때와 다르게 해킹이 불가항력적이라고 주장하기엔 IT 기술 수준이 발전했고, 보안 수준도 강화해야 하는 상황"이라며 "LG유플러스 개인정보 유출이 민사소송으로 이어진다면 KT 사례와 같은 옛날 기준으론 판사가 판결하진 못 할 것"이라고 덧붙였다.
한 보안업계 관계자는 "해커들은 끊임없이 해킹 변종을 만드는데 이것이 처음 뚫리고 확인하기 전까진 방어 기술이 없다"면서 "해커가 LG유플러스를 해킹했다면 어디를 뚫어 정보를 빼갔는지가 중요한데, 만약 전산서비스단에 DB를 해킹해 정보를 빼냈다면 위험할 수 있을 것"이라고 말했다.
이와 관련해 LG유플러스 측은 "개인정보 유출 원인과 관련해선 경찰 수사가 진행 중인 사안"이라고 답했다.
abc123@newspim.com