[비즈니스포스트] 개인정보보호위원회가 SK텔레콤의 해킹사고에 따른 개인정보 유출 사건 조사 과정에서 비협조적 태도를 지적하며, 조사 협조와 이용자에 개인정보 유출 통지를 명령하는 중간 의결을 한 사실이 뒤늦게 확인됐다. 

개인정보위가 최종 징계 결론에 앞서 중간 의결을 통해 사업자에 조사 협조를 요구한 것은 처음이다.

위원회의 이같은 중간 의결은 현행 개인정보보호법에 따라 최종 SK텔레콤에 대한 과징금 산정액을 더 높일 수 있다는 관측이 제기된다.

25일 개인정보위와 통신업계 관계자들의 말을 종합하면 개인정보위는 지난 5월2일 오전 8시 개최한 제10회 위원회 전체회의는 정기 회의가 아닌 긴급하게 소집된 이례적 회의였던 것으로 파악됐다.

개인정보위가 당시 회의에서 심의·의결한 안건은 SK텔레콤을 상대로 한 ‘개인정보 보호조치에 대한 개선권고에 관한 건’이었다.

이날 회의가 열린 배경은 SK텔레콤이 개인정보위 요구에도 가입자에게 개별적으로 개인정보 유출 통지를 하지 않은 점 때문이었다.

당시 SK텔레콤은 홈페이지에 일부 가입자 정보가 유출된 것으로 추정된다는 전체 공지만 게재했을 뿐, 법이 규정한 △유출 항목 △시점·경위 △피해 최소화 방법 △대응 조치와 피해 구제절차 △신고 부서와 연락처 등을 개별 통지하지 않았다.

이에 따라 개인정보위는 조사가 마무리되지 않아 ‘시정명령’을 내릴 수 없는 상황에서 ‘개선권고’ 형식으로 SK텔레콤에 가입자 통지를 요구했다.

업계 관계자는 비즈니스포스트와 만나 “개인정보위가 중간 의결을 하지 않는 것이 일반적이나, SK텔레콤이 개인정보 유출 통지 의무를 이행하지 않자 이를 중간 의결로 처리한 것으로 안다”고 말했다.

SK텔레콤이 중간 의결에 따라 가입자에 발송한 통지에서 사용한 ‘사이버 침해 사고’라는 표현도 개인정보위 내부에서 유출 책임을 최소화하려는 의도로 비쳤던 것으로 전해졌다.

고학수 개인정보보호위원회 위원장도 5월21일 정책포럼에서 “저희가 5월2일 (중간) 의결하고, 9일 정보유출에 대한 개인 통지가 되긴 했으나 굉장히 유감이 많다”며 “그때까지 통지 안 한 것도 문제이고, 통지 내역에 ‘유출 가능성을 추후 알리겠다”고 표현한 것, 법에서 요구한 부분에 부합하지 않은 내용도 있었다“고 말했다.

고 위원장은 “제대로 된 통지가 아니라고 판단했고, 뒤늦게 부실하게 했다”며 “SK텔레콤 측에 통지가 미흡했다는 내용의 공문을 보냈다”고 말했다.
  SK텔레콤에 대한 개인정보위의 중간 의결은 과징금 산정에도 악영향을 줄 수 있다는 관측이 나온다.

개인정보위는 전체 매출의 3%를 상한으로 정한 뒤 위반행위와 관련 없는 매출액을 제외한 매출을 기준으로 과징금을 산정한다. 이후 3단계 조정 절차에서 가중·감경 요인을 반영해 최종 금액을 확정한다. 

특히 2차 조정 단계에서는 △위원회와의 협조 여부 △위반행위 시정 조치 이행 여부 △피해 회복 및 확산 방지 노력 △개인정보 보호를 위한 지속적 노력 △위반행위의 주도 여부 △자진신고 여부 등이 평가 기준이 된다.

업계는 이번 중간 의결이 ‘위원회 협조 여부’와 ‘위반행위 시정 조치 이행 여부’에 해당돼 과징금 산정에 불리하게 작용할 수 있다고 보고 있다. 

다만 SK텔레콤이 해킹 사고 이후 무상 유심 교체를 실시하고, 5천억 원 규모의 가입자 보상안과 7천억 원대의 정보보호 투자 계획을 내놓은 점은 감경 요인으로 인정될 것이란 관측이다. 

개인정보위는 SK텔레콤 개인정보 유출 건과 관련한 최종 제재심의안을 오는 27일 열리는 전체회의에 상정해 최종 과징금을 결정할 예정이다. 조승리 기자 김재섭 선임기자