여기어때 해킹사건, 왜 '과징금 3억원' 경징계 나왔나

매출액 3%까지 부과 가능…법상으론 높은 징계

방송/통신입력 :2017/09/08 17:56

손경호, 안희정 기자

97만여명의 숙박업소 이용 이력 정보가 유출되면서 피해자들이 협박 문자까지 받았던 여기어때 해킹 사건에 대해 방송통신위원회가 서비스 운영사인 위드이노베이션에 과징금 3억100만원, 책임자 징계 권고 등 행정처분을 내렸다.

민감한 정보가 유출된 만큼 피해자들이 민사소송까지 진행하고 있는 와중에 이 같은 행정처분이 합당한 수준인지, 어떤 추가적인 대책이 필요할지 등에 대한 의견들이 나오고 있는 상황이다.

8일 열린 방송통신위원회 전체회의에서 상임위원들은 여기어때 해킹에 대한 행정처분 수위를 결정하면서 이 서비스 운영사인 위드이노베이션의 보안문제가 심각했다고 입을 모았다. 그러나 현행 법 상 처벌수위를 더 높일 방법은 없다.

■ 방통위 상임위원 "보안 문제 심각하나 처벌 수위 높이기 힘들어"

정보통신망법 제64조의3에 따르면 방통위는 위반 행위와 관련된 최근 3년 간 매출액의 최대 3%까지 과징금을 부과할 수 있다.

여기어때의 경우 서비스를 시작한 지 2년 정도된 만큼 3년 간 매출액 평균을 산정해 과징금을 부과할 수 없다.

때문에 2년치 매출을 3년치로 치환해 이를 기준으로 과징금을 매긴다. 해당 법에 따르면 방통위 신고에 따른 10% 감경 사유를 제외하면 법에서 정한 기준으로는 높은 수준의 과징금이 부과된 것이다.

이날 방통위 전체회의에서 고삼석 방통위 상임위원은 "지금까지 개인정보 유출 사고나 해킹 건에 대해 많이 다뤄봤지만 여기어때처럼 (보안 관련) 모든 분야에 문제가 있었던 사례가 없었다"며 "종합 불량 선물세트나 다름없고, 유출 사태 이후 여전히 미흡한 점이 보인다"고 강도높게 비판했다.

위드이노베이션은 ▲개인정보처리시스템 다운로드 등의 접근권한이 있는 개인정보취급자의 컴퓨터를 외부 인터넷망과 업무망으로 분리하지 않은 점 ▲적절한 규모의 침입차단탐지시스템을 설치하고 개인정보처리시스템에 접속한 IP 등을 재분석해 불법적인 개인정보 유출 시도를 탐지하지 않은 점 ▲해킹을 당한 마케팅센터 웹페이지에 대해서 웹페이지 취약점 점검을 수행하지 않은 점 ▲고객상담사 등에게 파일 다운로드 권한이 있는 관리자페이지 접근권한을 부여하는 등 접근권한을 과하게 부여한 점 ▲인사이동 시 취급자의 접근권한을 지체 없이 변경하지 않아 해커가 이를 악용해 개인정보 파일을 다운로드 한 점 등 정보통신망법 제28조제1항에 따른 접근통제 조치 전반을 소홀히 한 점이 확인됐다.

방송통신위원회는 전체회의를 열고 여기어때 운영사 위드이노베이션에 대한 행정처분을 의결했다.

민감한 개인정보에 대한 암호화를 안 한 것은 물론 고객상담사가 고객정보에 대한 다운로드 권한을 갖는 등 개인정보보호를 위한 기본적인 조치가 제대로 이뤄지지 않았다는 지적이다.

이날 전체회의에는 위드이노베이션 장영철 부대표와 법무팀장이 참석해 의견을 진술했다. 장 부대표는 "이번 사건을 계기로 개인정보 중요성을 인지했다"며 "유사한 규모의 스타트업에도 경각심을 불러일으켰다고 생각한다. 사후조치에 최선을 다하고 있다"고 말했다.

현재 여기어때는 서비스 운영을 위한 인프라를 아마존웹서비스(AWS)로 옮기고, 이 과정에서 개인정보보호를 위한 암호화 조치 등을 진행했다.

김석진 상임위원은 "2015년에 사업을 시작한 위드이노베이션이 사업 첫 해 매출 8천만원에서 지난해는 246억원까지 성장했지만 보안에 대한 인식이 심각하게 취약했다"고 지적했다.

허욱 부위원장은 "진술 내용에서는 보안 관련 보강하고 있다고 했지만 실질적으로 제대로 하고 있는 것으로 보이지 않는다"며 "브랜드 가치 떨어질 것에 대비해 광고만 더 집행하고 있는 것 같다"고 꼬집었다.

이어 허 부위원장은 "누적 적자가 200억이 되는데 자금을 이용자 보호에 추가로 쓸 여력이 있는지 우려된다"고 말했다.

표철수 상임위원은 과징금 감경에 대해서 이의를 제기했다. 현재 개인정보가 유출됐을 때 이를 보관한 회사가 자발적으로 신고하면 과징금 일부를 감경 받을 수 있다.

방통위 사무처는 위드이노베이션 개인정보 유출 건에 대해 매우 중대한 위반행위로 판단하고, 과징금을 부과했다. 방통위는 당초 감경 20%를 적용해 과징금 2억 6천만원을 부과하겠다는 의결 안건을 상정했다.

표 상임위원은 "이런 상황이 발생하면 숨기려고 하는 사업자들도 있겠지만 신고는 의무가 아니냐"며 "이번 건은 상품을 판매하다가 유출된 개인정보가 아닌 숙박 정보 유출 건이다. 자진 신고했다고 감경해줘야 하는가"라고 반문했다.

고삼석 상임위원도 "최종 과징금이 많다고 생각하지 않는다"며 "솜방망이 처벌을 했다는 비판을 받을 수도 있으니 이번 사안에서는 될 수 있으면 감경을 하지 않는 것이 어떠냐"는 의견을 냈다.

그러나 김재영 이용자정책국장은 "추가적으로 가중할 방법이 없으며, 신고를 했기 때문에 어느 정도 감경은 필요하다"고 말했다. 신고를 안하고 유출 사실을 숨겼을 때 과태료는 3천만원이다.

방통위원들은 조사 협조를 하면 관례적으로 과징금 감경을 해왔으니 이번 건에 대해선 10%만 감경해주기로 결정했다.

■ 책임자 징계가 '권고'일 수밖에 없는 이유…

지난해 3월22일 신설된 정보통신망법 제69조의2 2항에 따르면 방통위는 개인정보보호와 관련한 책임이 있는 자를 징계할 것을 권고할 수 있다. 권고를 받은 책임자를 이를 존중하고, 그 결과를 방통위에 통보하도록 했다.

이는 법이 신설된 뒤 처음으로 이뤄지는 조치라는 점에서 주목된다.

문제는 책임자에 대한 징계 '권고'가 얼마나 효과를 거둘 수 있느냐다. 일각에서는 보안사고가 터질 때 마다 보안 책임자가 처벌 받는다면 누가 그 자리에 앉겠냐는 주장이 나온다. 이 같은 이유로 책임자가 직접 개인정보를 유출시키는 등 명백한 잘못으로 형사처벌까지 필요한 상황이 아니라면 기업 내에서 자체적으로 징계처리를 하도록 권고하는 조치가 내려진다.

한국인터넷진흥원(KISA) 김주영 개인정보대응센터장은 "해킹이 한번으로 끝나는 것이 아니고 행정처분이 내려졌다고 해서 그 뒤로는 해킹이 발생하지 않는다고 장담할 수 없는 만큼 지속적인 관심과 투자가 필요하다"며 "이를 위해 징계를 권고하기 보다는 지속적인 개인정보보호 이행여부에 대한 점검이 더 효과적인 대책이 될 수 있을 것으로 본다"고 밝혔다.

법무법인 민후 김경환 대표 변호사는 "징계 권고를 받으면 이를 존중해야 하는 만큼 기업 내부에서 수준에 맞는 징계를 해야할 것"이라며 "법적인 강제사항은 아니지만 이를 지키지 않으면 괘씸죄가 적용될 수도 있을 것"이라는 의견을 냈다.

관련기사

이효성 방통위원장은 “O2O서비스의 경우 사생활과 관련된 민감정보를 수집/이용하는 경우가 많으므로, 사업자들은 마케팅이나 이용자 확보에 기울이는 노력만큼 보안투자나 개인정보 보호를 위한 노력을 병행하길 바란다"며 "방통위도 취약분야에 대한 사전점검 및 위반업체에 대한 보다 엄정한 제재를 통해 이용자 피해를 줄여 나가도록 노력하겠다"고 밝혔다.

위드이노베이션 관계자는 "방통위 행정처분에 대해 파악하고 있는 상황"이라며 "과징금이 적절한지에 대한 행정소송 등은 아직 검토하고 있지 않다"고 말했다.