17일 방송통신위원회와 미래창조과학부에 따르면 민관합동 개인정보유출 조사단은 최근 KT의 정보유출 사고가 초보용 해킹툴인 파로스 프로그램을 이용한 것으로 잠정 결론 내렸다.
조사단은 피의자 김모(29)씨 등이 파로스 프로그램을 이용해 KT 홈페이지 이용대금 조회란에 000000000부터 999999999까지 숫자를 자동입력해 고객 981만여명의 이름, 주소, 주민등록번호, 신용카드번호, 카드유효기간, 은행계좌번호, 전화번호, 이메일 등을 빼돌린 것으로 파악했다.
정부는 최근 이동통신사 보안 담당자들을 불러 KT의 사고 유형을 설명하고 유사 사고가 발생하지 않도록 대비하라고 당부하고 유통업체, 금융회사 등에도 문서로 사고 사례를 전파했다. 재발 방지를 위해 데이터베이스(DB) 개발 가이드라인도 만들 방침이다.
정부는 정보통신망법에 따라 KT에 과징금 부과도 검토하고 있지만 카드사에 내려진 영업정지 명령 등 중징계는 고려치 않고 있다.
KT가 이용자의 동의를 받지 않고 개인정보를 이용해 수입을 올렸다면 매출액의 1%를 과징금으로 부과할 수 있지만 주의 의무를 다하지 않아 개인정보가 유출된 경우 최고 1억원의 과징금만 부과할 수 있다.
3개월 영업정지, 대표이사의 사퇴 등 중징계를 받은 카드업계와 대조적이다. 최근 정부가 보조금 경쟁을 벌인 이통사에 부과한 1천억원대 과징금, 최장 59일의 영업정지 명령에 비해서도 미미한 수준이다.
정부 관계자는 "정보통신망법은 신용정보업법처럼 개인정보 유출을 고객 재산의 손실을 주는 금융 사고로 해석하지 않고 단순히 마케팅 활용 차원으로 해석하고 있어 영업정지 등 제재를 포함하지 않고 않다"고 설명했다.
이 관계자는 이어 "KT가 고객의 동의를 받지 않은 채 정보를 수집한 일이 없다면 1억원 이하의 과징금만 내면 된다"고 말했다.
최근 영업점관리 전산망 위탁관리업체가 해킹당해 영업점의 고객정보가 유출된 SK텔레콤[017670], SK브로드밴드[033630], LG유플러스[032640] 등도 영업정지 처분을 받지 않을 전망이다.
이에 따라 인터넷의 발달로 이통사의 고객 정보 유출로도 개인 재산에 막대한 피해가 발생할 수 있는 만큼 개인 정보 유출에 따른 처벌을 강화해야 한다는 지적이 나오고 있다.
금융당국은 올해 하반기부터 금융회사의 정보 유출 관련 형벌을 10년 이하 징역 등 최고 수준으로 강화하고 보안대책 미비 등이 적발되면 과태료를 기존 600만원에서 5천만원으로, 영업정지는 기존 3개월에서 6개월로 각각 늘리기로 했다. 신용정보사는 불법 정보 유출에 관련되면 6개월 이내 영업정지 또는 과징금을 내게 되며 3년내 재위반시 허가가 아예 취소된다.
윤 명 소비자시민모임 기획실장은 "이통사와 금융회사의 개인정보 모두 중요하므로 법을 개정해 개인정보 유출에 따른 징계 수준을 맞출 필요가 있다"며 "유사사건의 재발방지를 위해 개인 정보 유출에 대한 징벌적 과징금을 부과하고 관리자 책임도 물어야 한다"고 주장했다.