방송통신위원회가 최근 일어난 KT 개인정보 유출사건에서 KT의 과실이 밝혀지면 엄격히 조치할 예정이라고 밝혔다.
김광수 방통위 개인정보보호윤리과장은 31일 미디어 브리핑을 통해 “사업자가 개인정보 보호, 관리 등의 부분에서 과실이 있다고 파악되면 행정적 처분과 사법적 처벌이 가능하다”고 말했다.
다만 처벌 수위에 대해서는 말을 아꼈다. 아직까지 경찰 조사가 끝나지 않은 상황인데다, 정보통신망법에 따라 부과되는 각각의 의무에 대한 처분이 다르기 때문이라는 설명이다. 예컨대 일부는 시정명령, 또 다른 부분은 과징금 등이 부과되는 식이다.
방통위는 지난 26일부터 보안 전문가 등으로 사고조사단을 구성해 해당 사안에 대해 면밀히 조사 중이다. 또 31일에는 KT뿐만 아니라 SK텔레콤, LG유플러스 등 타 이통사도 자체점검이 필요하다고 판단, 이통3사 긴급 임원회의를 열어 보안강화를 권고했다.
김 과장은 “현재로서는 이용자가 KT 해킹으로 인한 피해를 당할 가능성은 최소화된 상태”라며 “다만 디지털 정보는 100% 회수되지 않을 가능성이 있기 때문에 지속적인 모니터링을 통해 이용자 피해 방지 등 사고 대책을 마련 중”이라고 말했다.
앞서 경찰청 사이버테러대응센터는 29일 지난 2월부터 5개월 동안 800여만명의 고객정보를 유출해 총 10억원 상당의 부당이득을 챙긴 일당 9명을 검거했다고 밝혔다. 이들은 해킹프로그램을 제작해 KT의 고객정보 조회시스템에 접근해 고객 정보를 해킹한 후 이를 휴대폰 텔레마케팅(TM) 사업에 활용한 것으로 드러났다.
경찰은 범인들이 직접 해킹한 KT 고객정보와 해킹프로그램 구매자들이 해킹한 고객정보를 전송받아 총괄 저장하고 있는 모든 DB서버를 압수, 회수한 상태했다.
다음은 방통위 브리핑 질의응답 전문이다.
현재 수사가 종결되지 않은 상황이다. 언제쯤 결과가 나올 것으로 보나. 만약 과실 파악이 된다면 과징금 규모는.
지금 경찰과 방통위가 주력하고 있는 부분은 어떻게 해킹이 가능했는지 여부다. 이것이 나와야 이후 처벌 여부 등이 결정될 것이다. 사업자 처분 부분은 과실 책임이 있다면 행정적 처분과 사법적 처벌 가능하다.
다만 정보통신망법을 보면 굉장히 복잡한 의무를 사업자에게 부과하고 있다. 각각의 사안에 따른 처분도 다 다르다. 시정명령에서부터 일부 사안에 대해서는 과태료, 또 일부 사안에 대해서는 과징금 등이 부과된다. 각각의 사안에 대해 처분이 다르기 때문에 아직은 처벌 수위에 대해서 말하기 어렵다.
KT 과실에 대한 구체적인 조사 범위는.
유출사고가 발생했을 때는 정통망법에 의한 모든 의무사항에 대해 전체적으로 다 점검한다. 단순히 기술적 조치가 다 이뤄졌는지 살펴보는 것은 아니다. 전반적인 위탁관계 부분, 제3자 제공, 위탁받은 사업자가 안전하게 관리하는지 등등. 시스템도 고객정보 관리 시스템에 한정하지 않고 개인정보 수집, 이용하는 모든 분야에 대해 조사를 한다.
이미 DB 서버를 압수, 회수 조치했다. 그럼에도 불구 추가 피해 방지 위한 노력한다고 했다. 발생 가능한 추가 피해는 어떤 것이 있나.
경찰 발표에 의하면 유출된 정보가 기록돼있는 서버를 다 압수, 회수했다. 경찰 발표가 정확할 거라고 생각하지만, 디지털 정보라는 것은 복사 등 2차 유출 가능성이 100% 없다고는 할 수 없다. 유출된 정보는 이용자의 가입과 관련된 정보다. 이런 것이 만약 악용될 경우 내 명의의 대포폰이 만들어진다던지, 내가 가입 안한 부가 서비스에 가입된다던지 할 수 있다. 현재로서는 이런 부분이 우려된다. 이를 방지하기 위해 해당 사업자와 방통위가 지속적으로 모니터링 하고 있다.
KT 해킹의 경우 목적이 TM이다. 즉 가입 권유를 위한 것이다. 이 정보가 대량으로 공개 되거나 확산 된다면 TM에 쓰기 위한 가치가 떨어지는 것이기 때문에 범인들이 무작위로 확산시키지는 않았을 것으로 보고 있다. 경찰이 조기에 범인을 검거해 무작위 확산 우려는 줄어들었다.
현재로서는 유출된 정보 추가 이용된 것 없다는 말을 믿어도 되나.
현재까지는 직접적으로 관련된 것으로 보이는 사례는 없다. 계속해서 침해 신고 센터 등의 운영을 통해 적극적으로 모니터링, 조사하고 있다.
KT 해킹의 경우 TM에 활용하기 위한 목적으로 정보를 유출했다. TM 입장에서는 나만 고급정보를 알아야 경쟁력이 있다. 그렇기 때문에 불특정 다수에게 이 정보가 유출됐을 것 같진 않다. 지금까지는 경찰의 발표를 신뢰하지만, 혹시라도 만에 하나라도 발생할 수 있는 피해를 막기 위해 노력 중이다.
경찰 조사에 의한 관련 유출된 정보는 10~15개 정도다. 일부만 2차로 유출될 수는 없나.
경찰에 의하면 고객정보 DB에 조회해서 확인한 모든 정보가 TM에 다 활용됐다. 일부 정보만 빼서 활용한 것은 아니었다.
어쨌든 대포폰 개통 등의 가능성이 있다는 말인가.
현재 이동전화 서비스 가입할 때는 본인확인 절차가 반드시 있다. 이용자 본인에게 확인하거나 신분증을 제출하는 식이다. 때문에 유출된 정보만으로 누구나 쉽게 대포폰을 만들 수 있다는 의미는 아니다. 다만 100% 확신할 수는 없기 때문에 이용자들의 주의를 당부하고 있다.
집단소송 카페 등이 생기고 있다. 어느 정도까지 보상을 받을 수 있나.
현행 정통망법에는 해킹 사건의 피해 보상에 대한 규정이 없다. 이는 전 세계적으로 동일하다. 이용자 피해 보상은 사법적 절차 이용하거나 개인정보보호법을 통해 분쟁조정위원회에서 조정 받는 수단을 써야할 것이다. 방통위에서 현재 별도로 피해 보상에 대한 지침이나 명령을 할 수 있는 법적 근거나 규정은 없다.
피해자 보상 규정이 없다고 했는데. 소송에서는 핵심 쟁점이다. 피해 범위는 유출만으로 피해인가 금전적 손해를 봐야 피해인가. 앞으로 이에 관련한 규정을 신설할 계획은 없나.
법에서 특별한 보상규정을 가지고 있는 경우는 거의 없다. 개인정보 관련 규정뿐만 아니라. 정보가 유출되면 어떤 식으로 얼마만큼 보상하라는 법률은 없다. 유출 사실 자체만으로 피해로 볼 것이냐 등은 사법부에서 판단할 내용이라고 본다.
KT에 가입경력이 있는 국민들은 모르는 사이에 부가통신 서비스에 가입됐는지, 대포폰이 개설됐는지 알아봐야 하나.
현 상황에서는 귀찮더라도 본인 정보 유출여부를 확인해야 한다. 또 만약 유출됐다고 확인 된다면 요금 고지서 등을 주의 깊게 봐야할 것이다. 혹시 알지 못했던 부가서비스에 가입되거나 통신사에 대한 조회를 통해 내 명의의 휴대폰이 가입된 것 없는지 확인하는 것이 안전할 것이다. 향후 해당 사건으로 인해 명의가 도용돼서 악의적으로 사용된 사례가 발견되면 별도의 대책을 마련할 계획이다.
개인정보 유출 피해를 당한 사람이 할 수 있는 것이 뭐가 있나.
이번 사건이 다른 해킹 사고랑 다른 점은 경찰에서 처음으로 범인을 검거했다는 점이다. 이전에는 중국발이거나 정보를 회수하지는 못했다. 그런데 법인도 조기 검거했고 유출된 정보도 회수했다.
현재 상황으로는 이용자가 이를 통해 피해를 당할 가능성은 최소화됐다. 다만 100% 회수되지 않아 남용될 가능성이 있기 때문에 혹시 발생하면 이통사나 118침해신고센터에 신고해달라는 것이다. KT에서도 피해가 확인이 되면 보상하겠다는 입장이다.
개인정보 유출된 이용자에게 즉각 사실을 알리게 했다고 했다. 그러나 현재는 사업자가 알리는 것이 아니고 이용자가 직접 홈페이지 등에 접속해 조회해야 한다. 유출 사실을 알기 위해 개인정보를 또 제공해야 하는데.
기존 정통망법에서는 해킹사고가 발생했을 때 방통위에 신고하도록 돼있다. 그런데 개개인에 대해서 개별적으로 통지하도록 하는 의무 규정은 현재 상태에서는 없다. 이용자에게 사업자가 알리도록 하는 개정 정통망법은 내달 18일부터 시행된다. 이때부터는 해킹 등이 발생했을 때 이용자가 직접 확인하는 것이 아닌, 사업자가 이메일, 문자, 팩스 등으로 이용자에게 알리도록 돼있다.
불법 TM 경우 이통사 내부 직원의 개입 여지가 크다. 방통위의 조치는.
오늘 이통사 임원 회의한 것이 이러한 맥락 때문이다. 내부 직원에 의한 유출도 충분히 가능성이 있다. 게다가 이통사는 많은 대리점을 운영 중이다. 대리점에서는 고객 정보를 조회해야할 경우 발생한다. 이용자들은 내 요금제나 서비스 뭐가 가입됐는지 조회하러 대리점에 간다. 그렇기 때문에 이런 부분들이 대리점이나 판매점을 통해 악용할 가능성 있다. 이 부분 관리를 위해 이통사와 대책을 강구 중이다.
현재는 불법 TM 신고를 하게 되면 판매점과 이통사가 계약을 해지하는 제도가 운영 중이다. 향후 추가적으로 대리점, 판매점에 대한 불법 영업 실태를 점검하고 관리 체제를 강화할 계획이다.
해킹이 계속해서 발생한다. 근본적인 대책은 없나.
관련기사
- 방통위 “KT 정보유출, 추가피해 가능성 낮아”2012.07.31
- 정보유출 KT, 이용자 피해 보상은?2012.07.31
- KT 정보유출 소송 카페 ‘우후죽순’2012.07.31
- KT, 유출 사과…“유출정보 전량회수”2012.07.31
해킹이나 개인정보 유출 사고의 공통점은 유출된 정보가 가치가 있다는 것이다. 이번 사건의 경우 이용자 가입정보를 굳이 해킹까지 해서 빼내려고 했던 것은 그 정보를 이용해 불법 TM에 활용하기 위해서다. TM 자체는 불법 아니지만 거기에 사용한 정보가 이용자의 동의를 받지 않았기 때문에 불법이다. 즉, TM을 통한 금전적 이익이 발생하기 때문에 수요가 계속 있는 것으로 본다. 지난 6월에도 보험업계에 개인정보를 건당 2천원씩에 판매한 사업자를 처분한 적이 있다.
이통사가 통신서비스를 제공하기 위해서는 어느 정도의 개인정보는 필요하다. 더욱 근본적 대책은 이통사가 보안시스템을 강화하고 불필요한 개인정보 삭제해야할 것이다. 또한 수요를 발생시키는 불법 TM에 대해서도 근본적인 대응이 필요하다고 본다. TM업체나 판매점에 대해 경찰이나 관계기관과 협의해서 적극적으로 조사하고 줄여나가기 위해 노력할 것이다.
