실시간
뉴스

침해사고/위협동향

KT, 개인정보 유출 과징금 취소 판결 받아

[디지털데일리 최민지 기자] 법원이 1170만여건의 개인정보를 유출한 KT의 손을 들었다. 사실상 관련 개인정보 유출 사건을 기업 책임으로 돌리지 않겠다는 판결로, 방송통신위원회(이하 방통위) 처분을 뒤엎은 결과가 나온 것이다.

보안업계는 불편한 기색이 역력하다. 국내 굴지의 통신사가 흔히 알려진 공격기법에 속수무책 당했지만, 7000만원의 과징금조차 내지 않아도 되는 상황에 놓였기 때문이다. 기업들에게 고객정보 등을 보호하기 위한 보안 강화를 비용이 아닌 투자로 인식시키기 더욱 어려워졌다는 설명이다.

기업 입장에서 보안정책 수립을 위해 쏟는 금액보다 과징금을 내버리는 게 더 이득인 상황에서, 책임 회피까지 가능해졌다는 지적도 제기된다. 또, 이번 판결로 향후 KT는 해당 개인정보 유출 사건과 관련된 민사소송에서 유리한 고지를 차지하게 됐다.

개인정보 유출부터 재판부 판결까지 상황은 이렇다. KT는 지난 2013년 8월부터 2014년 2월까지 이용자 981만8074명의 1170만8875건에 달하는 개인정보를 유출했다. 고객들의 이름, 주민등록번호 등은 당연히 해커 손에 넘어간 상태였다.

이에 방송통신위원회(이하 방통위)는 개인정보 유출에 대한 사업자 책임을 인정하는 행정처분을 이례적으로 내렸다. 그러나 과징금은 7000만원에 불과했다. 솜방망이 처벌이라는 꼬리표가 달리게 된 연유다.

이와 관련 KT는 방통위를 상대로 과징금 처분을 취소해달라는 소송을 제기했고 서울행정법원 행정14부는 방통위의 과징금 처분이 위법하다고 지난 25일 밝혔다. 이로써 KT는 솜방망이 처벌조차 피해가게 됐다.

재판부는 KT가 당한 파라미터 변조 수법이 널리 알려졌으나 다양한 패턴이 있기 때문에 공격에 대비하기 어렵다고 진단했다. 또, 고객 홈페이지에서 해커 접속은 1% 미만이라 이상행위를 탐지하기 힘든 것으로 판단했다.

방통위의 판단과 사뭇 다르다. 당시 방통위에서는 KT가 대량의 개인정보를 이용하는 기간통신사업자로서 철저하게 기술적·관리적 보호조치를 갖춰야하는데, 접근 통제장치의 설치·운영, 개인정보를 안전하게 저장·전송할 수 있는 암호화기술 등을 이용한 보안조치를 제대로 이행하지 않았다고 분석했다.

특히, KT는 이용자 본인 일치여부 인증절차가 미흡하고 외부의 권한 없는 자의 접근을 차단 및 통제하지 못했고 이미 20212년 7월 해킹사고 전력이 있었던 점도 문제가 됐다. 해커가 사용한 수법은 재판부에서 언급했듯 이미 널리 알려진 방식인 파라미터 변조 기법이다. 일각에서는 해킹이라고 말하기도 어려운 수준으로 보고 있다.

KT 홈페이지 해킹에 사용된 파로스프록시는 누구나 쉽게 접근할 수 있는 해킹툴이며, 파라미터 값을 변조해 인증을 받고 접속하게 되면 초보자도 정보를 빼낼 수 있다. 이러한 해킹방법에 당한 이유는 적절한 인증과정을 구축하지 않았던 탓이 크다는 게 당시 보안업계의 중론이었다.

과징금 액수는 적었지만 기업 책임을 묻겠다는 판단을 내린 최성준 방통위원장은 “이번 행정처분을 통해 국민들의 개인정보를 대규모로 취급하는 사업자들에게 경종을 울리는 계기가 되길 바란다”고 말한 바 있다. 물론, 경종은 울리지 않게 됐다.

보안업계 관계자는 “당시 KT가 당했던 공격 수법은 어려운 수준이 아니었고, 영세한 중소기업이 아닌 대기업에서는 미리 조치했더라면 충분히 대응할 수 있었던 공격”이라며 “이번 판결은 고객정보를 관리하는 다른 기업들에게 오히려 책임지지 않아도 된다는 잘못된 인식을 심을 수 있다”고 강조했다.

이어 “KT 입장에서는 과징금 7000만원의 문제가 아니라, 민사소송 등 향후 연계되는 사안들을 고려한 소송이었을 것”이라며 “이번 판결 결과가 이와 관련한 다른 민사소송 등에 영향을 미치기 때문”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr

디지털데일리 네이버 메인추가
x