‘유심 해킹‘ SKT “1348억 과징금 과해, 형평성 어긋나”
SKT, 구글·LG유플러스 등 사례와 비교해 ‘불합리한 제재‘ 주장
SK텔레콤(대표 유영상, 이하 SKT)은 개인정보보호위원회(이하 개인정보위)가 유심 해킹 사태에 대한 제재 처분으로 1347억9100만원의 과징금을 부과한 것에 대해 “과도하며 형평성에 어긋난다“는 입장을 내놨다.
SKT 측은 규제 형평성과 제재 수준의 비례성을 언급하며 “이번 사건을 기업 단독 책임으로만 보는 것은 적절치 않다“고 주장했다.
SKT는 개인정보위의 이번 제재가 다른 사례와 비교해 “(처분 정도가) 과하다“고 주장했다. SKT 관계자는 “구글은 동의 없이 개인정보를 광고에 활용해 692억원의 과징금을 부과받았다”며 “영리 목적의 불법 활용보다 해킹 피해로 인한 유출에 더 무거운 제재가 내려진 것은 불합리하다”고 설명했다.
또한 SKT 측은 “LG유플러스는 국제가입자식별번호·국제단말기식별번호·범용가입자식별모듈(IMSI·IMEI·USIM) 고유번호가 유출됐지만 전체 이동통신 매출이 아니라 고객인증시스템(CAS) 관련 매출만을 기준으로 68억원의 과징금을 받았다”며 “SKT 역시 유심 정보가 유출된 LTE·5G 음성서비스 인증 시스템(HSS) 관련 매출을 기준으로 과징금을 산정하는 것이 합리적”이라고 말했다.
해외 사례와의 비교도 들었다. 미국 T모바일은 1억1000만건 유출로 216억원, AT&T는 890만건 유출로 178억원의 제재를 받았고, 일본 NTT니시니혼도 928만건 유출에도 금전적 제재가 없었는데, SKT에만 상당히 높은 제재가 가해졌다는 주장이다.
아울러 SKT는 과징금 측정 기준에도 문제의 소지가 있다고 주장했다. SKT 관계자는 “SGI서울보증보험 해킹 사태는 13.2TB의 민감한 신용정보가 유출됐지만 신용정보법상 과징금 상한은 50억원”이라며 “유심정보 유출에 매출 3% 수준의 과징금을 부과하는 것은 무겁다”고 했다. 이어 “이번 사건은 지능형지속위협(APT) 공격 특성이 뚜렷해 기존 보안 기술만으로 대응하기 어렵다”며 “국가 차원의 방어 체계가 필요한 사안”이라고 덧붙였다.
추가로, SKT는 현재까지 고객 피해 사례가 확인되지 않은 점도 강조했다. 사고 직후 이상거래탐지시스템(FDS) 가동, 유심 무상 교체, 보호 서비스 제공 등으로 잠재적 피해를 차단하기 위한 노력을 기울였다는 것이다.
한편, 개인정보위는 28일 열린 SKT 제재 처분 관련 브리핑에서 이번 사건이 단순 해킹 피해가 아니라 ▲망 분리 미흡 ▲DirtyCow 취약점 장기간 미적용 ▲유심 인증키 평문 저장 등 기본적인 보호 의무를 이행하지 않은 관리 소홀에서 비롯된 것이라고 설명했다. 또 SKT가 2300만명 개인정보를 보유한 1위 기간통신사업자인 점을 고려해 전체 매출을 기준으로 과징금을 산정했으며, 피해 사례 발생 여부와 관계없이 유심 인증키 유출 자체가 중대한 위반이라고 강조했다.
글. 바이라인네트워크
곽중희 기자 god8889@byline.network