1000억? 추가심의? … SKT 해킹 제재 '고비'

27일 개인정보보호위 전체회의

결론 따라 28일 브리핑 예정

최대 3800억 과징금 가능 … 감경 반영시 1000억 안팎 전망

추가 심의 가능성도

[디지털포스트(PC사랑)=이백현 기자] SK텔레콤의 대규모 유심(USIM) 해킹 사고와 관련해 개인정보보호위원회가 27일 전체회의를 열고 제재 수위를 논의한다. 회의는 비공개로 진행되며, 결과는 이르면 28일 브리핑을 통해 발표된다. 다만 추가 심의가 필요할 경우 공식 발표 시점은 늦춰질 수 있다.

업계 안팎에서는 이번 안건이 개인정보위가 내리는 역대 최대 규모 제재가 될 수 있다는 관측이 나온다. 현행 개인정보보호법에 따르면 과징금 상한은 관련 매출액의 최대 3%까지다. 이를 두고 시장에서는 수천억 원대 제재 가능성이 거론되고 있다.

쟁점은 크게 세 가지다. 첫째, 유출된 개인정보의 범위와 규모다. 정부 조사에 따르면 이번 사고로 전화번호, 국제이동가입자식별번호(IMSI), USIM 인증키(Ki·OPc) 등이 대거 유출됐다. IMSI 기준으로는 약 2,696만 건에 달해 사실상 전 가입자가 영향을 받은 것으로 평가된다.

둘째, SK텔레콤의 기술적·관리적 보호조치가 적절했는지 여부다. 개인정보위는 △Ki 미암호화 등 취약한 관리 체계 △로그 보존 미흡 △자료 보전 명령 위반 정황 등을 중대한 위반 사유로 보고 있다. 반면 SK텔레콤은 사고 직후 무상 USIM 교체, 이상거래탐지(FDS) 고도화, 보안 투자 확대 등 후속 조치를 내놓으며 감경 사유를 강조하고 있다.

셋째, 매출 산정 방식이다. 전체 매출액 3%라는 기준은 같지만, 관련 없는 매출을 얼마나 공제하느냐에 따라 과징금 규모는 크게 달라질 수 있다. 일부에서는 무선통신 매출(연간 약 12조원)을 기준으로 최대 3,800억원, 감경을 반영하면 1,000억원 안팎으로 줄어들 것이란 관측이 나온다.

개인정보위가 최종 결정을 내리면, 이번 건은 향후 국내 대기업 보안사고 제재의 선례로 작용할 가능성이 크다. 추후 IMSI·Ki 같은 통신망 핵심 식별값을 개인정보로 규정할지 여부에 대한 기준선으로 작용할 전망이다.