https://www.pointdaily.co.kr/news/articleView.html?idxno=244435

 

72시간 내 상세 고지 의무 이행 못해
피해자 접수처, 구제절차 등 안내 부실
안전조치 의무 위반 확인되면 과징금 부과할 수도
개인정보보호위, 엄정 처분 예고

SK텔레콤이 최근 발생한 고객 유심(USIM) 정보 유출 사태 이후 법정 고지 의무를 제대로 이행하지 않아 과태료를 부과받을 위기에 처했다. 조사과정에서 개인정보보호법상 요구되는 안전조치 의무 위반이 확인되면 수백억원의 과징금까지 부과받을 수 있는 상황이다. 

국무총리 산하 개인정보보호위원회 업무 관계자는 24일 "SK텔레콤이 개인정보보호법 제34조에서 규정한 유출 고지 의무를 충실히 이행하지 않은 정황이 있다"고 전했다. 

이 관계자는 "보상이 어떻게 돼 있는지(보상 절차),  조직, 절차(피해신고 접수처, 피해 구제절차 등) 등을 자세하게 고지하지 않은 것으로 보인다"며 "SK텔레콤측은 유출 규모가 완전히 파악이 안됐고, 어떤 이용자 정보가 유출됐는지도 확인이 안됐기 때문이라고 이유를 대는 데 법에서 정한 정당한 사유로 보기 어렵다"고 덧붙였다. 

개인정보보호법 제34조에 따르면 개인정보처리자는 개인정보가 분실, 도난, 유출이 됐다는 것을 알게 된 후 72시간 이내 서면, 전자우편, 팩스, 전화, 문자 등으로 해당 정보주체(개인정보가 유출된 당사자)에게 유출된 개인정보 항목, 유출 시점과 경위, 피해 최소화 방법, 대응조치와 피해 구제절차, 피해 신고 접수 담당부서 및 연락처를 알려야 한다. 

SK텔레콤은 지난 19일 밤 11시경 악성코드로 인한 유심 정보 유출 정황을 발견했으나 고지 내용에서 피해 사실 접수처, 피해 구제 절차 등을 제대로 안내하지 않았다.

해킹 발생후 나흘이 지나서야  홈페이지 공지로 대체했고,  피해 방지를 위한 개인별 문자 안내는 최대 11일 후인 30일까지 순차 발송하겠다고 해  빈축을 샀다. 이마저도 늦어질 수 있다고 해 또 다른 논란이 불가피할 전망이다. 

SK텔레콤은 피해 규모를 정확하게 파악하기 어렵다는 입장이지만, 법적으로 개인정보 유출시 고지의무를 제대로 하지 않아도 되는 '정당한 사유'로 인정받기 어렵다는 것이 개인정보보호위측 견해다. 

복수의 변호사에 따르면 개인정보 유출 사실을 당사자에게 제대로 알리지 않는 것만으로 해당 사업자는 개인정보보호법 제75조제2항에 따라 3000만원 이하 과태료가 부과된다. 조사 결과에 따라 단순 과태료 부과에 그치지 않을 수 있다. 개인정보보호법상 요구되는 안전 조치 의무 위반이 확인되면 해당 사업자는 최근 3년간 연평균 매출액의 최대 3%에 달하는 과징금까지 부과받을 수 있다. SK텔레콤 매출 규모를 고려할 때 수백억 원에 이를 수 있는 금액을 과징금으로 물어야 할 수도 있다. 

이번 유출 사태는 스마트폰 이용자에게 사실상 '디지털 신분증' 역할을 하는 유심 정보가 대상이라는 점에서 심각성이 크다. SK텔레콤은 가입자만 2400만명에 달하는 국내 최대 통신 기업이다. 보안 전문가들은 유심 정보 유출 시 금융사기, 개인정보 도용 등 2차 범죄로 이어질 가능성이 높다고 경고한다.

SK텔레콤 측은 여전히 "현재 정확한 유출 원인과 규모, 항목 등을 파악 중"이라며 "추가 조사 결과에 따라 필요한 조치를 취할 것"이라고 전했다. 

개인정보보호위는 SK텔레콤의 개인정보 유출 경위, 피해 규모, 안전조치 의무 준수 여부 등을 조사 중이며 법 위반이 발견되면 엄정한 처분을 내리겠다고 밝혔다.