서울 KT 사옥./뉴스1

작년 개인정보 유출과 무단 소액결제 사고가 발생한 KT에 대한 정부 제재 수위가 이르면 이달 말 확정된다. 위반 행위 관련 매출액을 기준으로 단순 계산한 법정 최대 과징금은 약 2000억원이지만, 사고 경위와 피해 규모, 사후 조치 등에 따라 실제 부과액은 달라질 전망이다.

19일 업계에 따르면 개인정보보호위원회는 오는 29일 전체회의를 열고 KT의 개인정보보호법 위반에 따른 과징금과 시정명령 등 제재안을 심의·의결할 것으로 알려졌다. 개인정보위는 지난 5월 조사를 마치고 KT에 처분 사전통지서를 보낸 뒤 회사가 제출한 소명자료를 검토하고 있다. 추가 검토가 필요하다고 판단하면 의결이 미뤄질 수 있다.

KT에서는 작년 9월 불법 초소형 기지국(펨토셀)을 이용한 개인정보 유출과 무단 소액결제 사고가 발생했다. 과학기술정보통신부 민관합동조사단은 불법 펨토셀 20개를 통해 2만2227개 회선의 전화번호와 국제이동가입자식별번호(IMSI), 단말기식별번호(IMEI) 등이 유출된 것으로 파악했다.

이 가운데 368명은 결제 인증 문자와 전화가 탈취돼 총 777건, 2억4319만원의 무단 소액결제 피해를 봤다. 개인정보위는 한 사람이 여러 회선을 보유한 사례와 법인 회선 등을 제외해 개인정보가 유출된 정보주체를 1만6000여명으로 산정한 것으로 알려졌다.

개인정보보호법에 따르면 개인정보위는 위반 행위와 관련된 매출액의 최대 3%를 과징금으로 부과할 수 있다. KT의 최근 3년 무선 서비스 매출은 연평균 약 6조6689억원이다. 이를 기준으로 단순 계산하면 과징금 상한은 약 2000억원이다.

다만 실제 과징금은 위반 행위와 직접 관련된 매출 범위와 위반 기간·중대성, 피해 규모, 가중·감경 사유 등을 반영해 결정된다. 불법 펨토셀의 내부망 접속을 막지 못했고, 유출된 식별정보가 무단 결제에 직접 이용됐다는 점은 제재 수위를 높이는 요인이 될 수 있다.

민관합동조사단은 KT에 납품된 펨토셀이 동일한 인증서를 사용했고 인증서 유효 기간도 10년으로 설정돼 불법 장비의 내부망 접속이 가능했다고 지적했다. KT가 과거 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 점과 침해사고 신고가 지연된 사실도 확인됐다.

서버 폐기 시점을 사실과 다르게 보고하고 관련 백업 로그를 제출하지 않은 점도 불리하게 작용할 가능성이 있다. 조사단은 이와 관련해 KT가 정부 조사를 방해한 정황이 있다고 보고 위계에 의한 공무집행방해 혐의로 수사기관에 수사를 의뢰했다.

반면 KT가 피해 고객의 무단 결제액을 보상하고 유심 무상 교체와 해지 위약금 면제 등 피해 구제 조치를 시행한 점은 감경 요소로 검토될 수 있다. 불법 펨토셀 접속 차단과 정보보호 투자 확대, 보안 자문위원회 출범 등 재발 방지 대책도 제재 수위에 반영될 전망이다.

앞서 개인정보위는 대규모 개인정보 유출 사고를 낸 SK텔레콤에 과징금 1348억원을 부과했다. 현재 최대 과징금은 개인정보 3756만명이 유출된 쿠팡에 부과된 6247억원이다. 개인정보위가 제재를 확정하더라도 KT가 행정심판을 청구하거나 행정소송을 제기하면 과징금 산정 기준과 책임 범위를 둘러싼 법적 공방으로 이어질 수 있다.