법원 판결로 과징금 취소됐던 KT·이스트소프트, 금액 줄여 다시 부과
by이후섭 기자
2021.11.24 14:57:04
개인정보위, KT에 2000만원 줄여 5000만원 과징금 재처분
`1100만건 유출` KT, 안전조치 의무위반 4개 중 1개만 인정
이스트소프트도 침입차단·탐지 시스템 운영의무 소홀히 해
"일부 법 위반 인정됐기에 다시 소송 제기할 가능성은 낮아"
| 박영수 개인정보보호위원회 조사1과장이 24일 오후 서울정부청사에서 KT, 이스트소프트 과징금 재처분 관련 브리핑을 하고 있다.(사진=개인정보보호위원회 제공) |
|
[이데일리 이후섭 기자] 대법원에서 개인정보보호법 위반 행위가 인정되지 않아 과징금 처분이 취소됐던 KT(030200), 이스트소프트(047560)에게 개인정보보호위원회가 과징금 금액을 줄여 다시 부과했다. 대법원에서도 일부 안전조치 의무 위반은 인정됐기에, 해당 부분만 반영해서 과징금을 총 1억4800만원으로 재산정했다.
개인정보위는 24일 전체회의를 열고 KT에는 기존 과징금 보다 2000만원 감액된 5000만원, 이스트소프트에는 1400만원 줄어든 9800만원의 과징금을 다시 부과했다.
방송통신위원회는 지난 2016년 6월 해커가 파라미터 변조 KT 마이올레 홈페이지에서 1100만여 건의 개인정보를 수집하고, 올레클럽 상담사용 웹페이지에 접근 가능한 인터넷주소(URL)를 획득해 8만여 건을 조회한 데 대해 과징금 7000만원을 부과했다. KT는 방통위 행정처분에 대해 소송을 제기했고, 지난 8월 대법원에서 확정판결을 받아 과징금이 취소됐다.
박영수 개인정보위 조사1과장은 “법원은 퇴직자 접근권한 관리 부분만 법 위반으로 인정하고, 침입차단·탐지 시스템, 개인정보 유·노출 방지조치 위반에 대해서는 KT가 사회통념상 합리적으로 기대 가능한 정도의 기술적 보호조치를 했다는 이유로 법 위반을 인정하지 않았다”며 “대법원은 법 위반이 인정되지 않은 부분이 과징금 산정에 영향을 미쳤을 것으로 보고, 과징금 부과를 전부 취소한다고 판결했다”고 설명했다.
개인정보위는 대법원에서 법 위반으로 인정받은 퇴직자 ID를 삭제하지 않은 부분에 대해 중과실에는 해당하지 않는 것으로 판단하고, 2000만원을 줄여 5000만원의 과징금을 부과했다.
박 과장은 “KT는 상담사의 퇴직으로 해당 ID는 말소했으나, 해당 ID에 매칭되는 URL이 완전히 삭제되지 않고 남아 있었다”며 “해커가 이를 획득해 인터넷망을 통해 정상적인 상담사와 마찬가지로 임의의 전화번호를 입력해 총 8만여건의 개인정보를 조회할 수 있었다”고 말했다.
대법원이 판결을 통해 퇴직자의 단순한 계정 말소만으로 충분한 안전조치를 했다고 볼 수 없고, 해당 URL 정보 등 접근권한의 말단까지 완전히 삭제해야 적법한 조치라는 점을 명확히 했다는 것이다.
이스트소프트의 경우 지난 2018년 `알패스` 서비스 이용자 16만여 명의 계정에 등록된 정보 2500만여 건이 해커의 사전대입 공격으로 유출된 데 대해 과징금 1억1200만원을 부과받았다.
행정소송 결과 대법원은 지난 9월 침입차단·탐지 시스템 설치·운영의무 중 운영의무를 소홀히 한 법 위반은 인정했으나, 설치의무에 대해서는 공개 소프트웨어로 개인정보보호 시스템을 구축하더라도 객관적으로 품질이 인정된 경우라면 적법하다는 이유로 법 위반을 인정하지 않고 과징금을 재산정하도록 판결했다.
박 과장은 “이스트소프트는 2차 사전대입 공격이 7개월 넘게 이어지는 동안 한 번도 로그분석을 하지 않았고, 알패스 서비스 관련 방문자 수 증가를 모니터링하지 않는 등 침입차단·탐지 시스템 운영의무를 소홀히 했다”며 “알툴바 프로그램에 취약점이 있음을 알고도 시스템에 부정 접속된 이용자의 비밀번호 초기화, 접속차단 등의 조치를 취하지 않아 유출이 일어났다”고 판단했다.
개인정보위는 KT와 이스트소프트가 재처분 결과에 불복해 재차 행정소송을 제기할 가능성은 낮을 것으로 봤다. 박 과장은 “이미 법원에서도 이번 처분 사유에 대해 인정했기에 다시 소송을 제기할 일은 없을 것으로 보인다”며 “법원은 과징금 액수를 조정하는 것은 처분청의 몫이라는 입장”이라고 말했다.
이어 그는 “개인정보 유출이 일어났던 당시와 비교하면 기술 수준이 많이 달라졌기에 안전조치 의무사항도 그때와 같은 수준으로 규정할 수는 없다”며 “지금의 기술 수준을 고려하고 산업계 의견을 받아 조율해서 안전조치 의무사항을 계속 보완해 나가겠다”고 덧붙였다.