일요주간 - “KT, 최근 10년 개인정보 유출로 1854만여 명 피해”...공적 특혜 누리면서 손해배상책임 ′0′건

▲KT는 지난 2002년 민영화된 이후 지속적이고 반복적으로 막대한 양의 개인 정보 유출로 인한 소비자 피해를 유발해 개인정보보호 관리에 있어 고질적이고 구조적인 문제점을 드러내고 있다

20일 소비자단체인 소비자주권시민회의는 "KT는 지난 2002년 민영화된 이후 지속적이고 반복적으로 막대한 양의 개인 정보 유출로 인한 소비자 피해를 유발해 개인정보보호 관리에 있어 고질적이고 구조적인 문제점을 드러내고 있다"고 지적했다.

본인확인기관으로서 KT는 주민등록번호 수집과, 본인 식별을 위한 성명, 생년월일, 성별, 내/외국인, 휴대폰번호와 중복가입 확인정보, 연계정보 등을 수집할 수 있다.

방통위 자료에 따르면 KT는 본인확인기관으로서 2017년부터 2021년 9월 까지 23억 1600만 건의 본인확인서비스를 처리한 것으로 나타나 같은 기간 동안 약 926억 4000만 원의 수익을 거둔 것으로 추정된다.

소비자주권시민회의는 "KT는 소비자 개인정보 유출과 관련해 지난해 11월에도 개인정보보호법상 안전조치의무 위반으로 개인정보보호위원회로부터 300만 원의 과태료 처분을 받은 것은 물론 KT 계열사도 올해 4월에 같은 이유로 6억 8496억 원의 과징금과 2040만 원의 과태료 처분을 받았다"고 밝혔다.

▲ KT 개인정보 유출 현황.(자료=소비자주권시민회의 제공)

◇ 최근 10년 간 KT 개인정보 유출...최소 1854만여 명 이상 피해

KT는 2002년 민영화된 이후 2004년 주민등록번호를 포함한 92만 명의 개인정보를 유출한 바 있다. 또 2012년 이후 최근 10여년 동안 2012년, 2014년, 2016년 세 차례에 걸쳐 대량의 개인정보 유출로 최소 1854만여 명 이상의 소비자 피해를 유발했다.

특히 2014년에는 불과 2년 전인 2012년에 약 873만 명의 개인정보 유출로 인해 KT 사장의 공식 사과와 재발방지대책 발표가 있음에도 불구하고 다시 1170만 건이 넘는 개인정보가 유출되는 사고가 발생해 소비자들에게 커다란 충격을 주었다.

그리고 2016년에는 KT의 자회사 및 위탁 업체의 직원들이 가입자 유치·상담, 실적보고 등 업무를 위해 유·무선 가입자의 주민등록증, 가입신청서 등 개인정보를 SNS(네이버 밴드)에 노출해 온 것으로 밝혀져 국정감사에서 지적된 바 있다.

그러나 KT는 2019년부터 2022년 사이에도 해마다 협력사 및 계열사의 내부 유출로 직원 및 소비자의 개인정보를 유출해 문제가 됐다. 특히 2022년 KT의 한 계열사는 개인정보 안전성 확보에 필요한 조치를 제대로 하지 않아 외부인의 해킹 공격을 정상적으로 탐지· 차단 하지 못하고 총 1만 3393명의 개인정보를 유출했다.

▲ KT 개인정보 유출 대응 및 재발방지 대책.(자료=소비자주권시민회의 제공)

소비자주권시민회의는 "사실상 독과점에 가까운 통신시장에서 대다수 국민은 이동통신3사의 서비스에 가입돼 있다. 전체 이동통신서비스 가입자의 20%가 넘는 약 1830만 회선의 가입자를 보유한 KT의 개인정보보호 문제는 소비자의 정보주권과 관련된 중요한 문제라고 볼 수 있다"고 지적했다.

이어 "KT는 본인확인제도에 따라 2012년 12월 28일에 본인확인기관으로 지정된 이래, 개인의 주요정보인 주민등록번호를 수집할 수 있다. 또한 온라인 상에서 주민등록번호의 사용이 제한됨에 따라 다양한 서비스 이용자에 대해 주민등록번호가 아닌 대체 수단을 이용해 본인 여부를 확인해 주는 역할을 맡고 있다"고 덧붙였다.

그러면서 "KT는 본인확인기관 지정을 통해 해마다 증가하고 있는 본인확인서비스의 처리 수익뿐만 아니라 외부에 본인확인을 요청할 때 소요되는 비용 측면에서도 공적인 특혜를 누리고 있다"며 "그런데 이러한 공적인 특혜를 누리면서 개인의 주요정보를 처리하는 본인확인기관인 KT가 정작 개인정보 유출 피해를 방지하지 못한다면 그 책임은 가볍게 볼 수 없다"고 꼬집었다.

KT는 반복되는 개인정보유출에도 손해배상책임이 '0'건이라는 점에서 볼 수 있듯이 법률적으로 아무런 책임을 지지 않고 있다.
 

KT는 고객의 개인정보 유출과 관련해 2012년 개인고객부문 사장이 공식 사과하고 재발방지를 위한 5가지 개인정보보호 강화 대책을 발표했다. 그런데 불과 2년 뒤인 2014년 개인정보 유출 사고가 반복되자 회장이 다시 한번 공식 사과를 했다. 그러나 KT는 개인정보 유출 피해를 입은 소비자들에 대한 구체적인 배상이나 피해 회복을 위한 계획은 발표하지 않았다.

다시 2년이 지난 2016년 국정감사에서 개인정보 유출 문제가 지적됐을 때 KT는 문제가 된 SNS 계정을 폐쇄하고 유출 정보를 모두 삭제 조치했다고 발표한 외에 아무런 공식적인 사과나 재발방지 대책, 소비자 피해 회복을 위한 계획도 발표하지 않았다.

◇ 정보보호 투자에도 불구하고 반복되는 개인정보 유출 피해

이동통신3사는 과학기술정보통신부의 ‘정보보호 공시에 관한 고시’에 따라 매년 6월 30일까지 정보보호 현황을 제출해야 한다. 해당 고시에 따라 이동통신3사가 6월 30일 공개한 2022년 정보보호부문 투자현황을 살펴보면 2022년의 경우 KT가 정보보호 투자와 인력 현황 모두 타 통신사에 비해 상당한 격차로 우위를 차지한 것으로 나타나고 있다. 특히 정보보호부문 투자액은 약 1034억 7138만 원으로 다른 통신사의 2배가 넘고 정보보호부문 전담인력 (내부)도 약 240명 가량으로 다른 통신사의 5배가 넘는 것으로 나타났다.

이러한 KT의 정보보호 투자에도 불구하고 개인정보유출 사고가 끊이지 않고 있다.

지난해 KT는 테스트 계정으로 로그인한 상태의 인터넷 주소(URL)를 고객들에게 안내문자로 발송해 해당 인터넷 주소로 접속한 고객 중 이벤트 제품을 구매한 고객의 개인정보를 해당 URL을 통해 접속한 다른 고객들에게 노출시켰다. 또한 같은 해 KT의 한 계열사는 웹 방화벽 설정, 개인정보처리시스템에 대한 접속 IP 주소 제한 등의 조치를 하지 않아 외부인의 해킹 공격을 정상적으로 탐지·차단하지 못하고 총 1만 3393명의 개인정보를 유출했다.

소비자주권시민회의는 "지금까지 KT는 개인정보 유출과 관련해 공식적인 소비자 손해배상이나 피해의 회복을 위한 구체적인 계획을 발표한 바 없다. 2014년 이후로는 더 이상 개인정보 유출에 대해 본사 차원의 공식적인 사과 발표도 하지 않고 있다"고 밝혔다.

KT는 2012년 870만 명의 개인정보 유출과 관련해 피해자들의 손해배상청구에 대법원까지 계속된 지난한 소송을 통해 책임을 부인한 끝에 2018년 12월 28일 개인정보 유출에 대한 민사상 손해배상책임을 면하게 된 바 있다. 

소비자주권시민회의에 따르면 최근 10년 사이 KT의 개인정보 유출과 관련해 KT 측은 민사상 아무런 법률적 책임을 부담하지 않았다.

◇ 최근 10년, 과징금 및 과태료 15억 7000만 원 이상
 

2012년 개인정보 유출과 관련해 당시 관리감독기관이었던 방통위는 7억 5300만 원의 과징금을 부과한 바 있다. 그러나 당시 회의록에 따르면 과징금은 '개인정보 제3자 제공시 제공항목을 명확하게 표시하지 않음'을 이유로 한 것이고 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제64조의3 제1항 제6호에 따른 과징금 부과는 차후 사법부 등의 인과관계에 대한 판단 결과에 따른다고 기록돼 있다. 그러나 이후에도 2012년 개인정보 유출과 관련해 KT에 다른 과징금이 부과된 사실은 확인할 수 없다.

2014년 방통위가 KT에 7000만 원의 과징금을 부과한 것은 개인정보 유출과 관련해 기술적·관리적 보호조치가 미비하다는 이유로 대형 사업장에 최초로 과징금을 부과한 것이었다. 그러나 KT는 이러한 처분에 대해 개인정보 유출과 관련해 KT 측의 '중대한 위반행위'가 없다는 이유로 행정소송을 다툰 끝에 2021년 8월 19일 취소의 확정판결을 얻어낸 바 있다. 이에 2021년 11월 24일 개인정보보호위원회는 '일반 위반행위'를 이유로 5000만 원의 과징금을 다시 처분했다.

2016년 개인정보 유출의 경우 2016년 9월 23일 변재일 의원실 보도자료에 의해 익명의 제보사실이 밝혀진 이후 다양한 기사를 통해 널리 보도됐다. 2016년 10월 6일 미래창조과학방송통신위원회 국정감사에서 당시 방통위 위원장에게 질의까지 이루어진 사안이지만 이후 아무런 후속 처분 사실이 알려진 바 없다.
 

◇ 개인정보호법 제정됐지만 제대로 된 피해보상 받지 못하는 현실

이와 관련 소비자주권시민회의는 “개인정보 유출사건에서 피해자인 소비자의 손해는 일상생활에서 광고성 전화를 빈번하게 받게 되는 불편함이나 유출된 개인정보가 범죄 등에 악용될 수 있다는 불안감 등 금전적으로 계산하기 어려운 비재산적 손해인 경우가 대부분이어서 이를 금전적으로 계산하는 것은 어려운 일이다”고 밝혔다.

이어 “개인정보 유출로 인해 피해자가 입은 손해는 큰데도 피해자가 그 손해액을 금전적으로 증명한다는 것은 어려운 일이다. 따라서 민사소송을 통해 피해자들이 충분히 손해배상을 받지 못하고 있다는 사회적 공감대 아래, 2015년 개인정보 보호에 관련된 법률(개인정보보호법, 정보통신망법, 신용정보법)의 개정을 통해 법정손해배상제도와 징벌적 손해배상제도가 도입된 것은 긍정적인 제도 개선”이라면서도 "법원은 비재산적 손해에 대한 위자료 액수는 법원이 사정을 참작해 직권 재량에 의해 확정할 수 있다고 판시해 개인정보 유출 사실만으로 손해배상청구 소송을 할 경우 5~10만 원대 소액의 위자료만을 인정하고 있는 실정이다"고 덧붙였다.

아울러 "법원은 정보통신서비스 제공자(현행 개인정보처리자)가 '개인정보의 기술적· 관리적 보호조치 기준'(개인정보보호위원회 고시, 현행 개인정보의 안전성 확보 조치 기준)에서 정하고 있는 기술적·관리적 보호조치를 다한 경우 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 볼 수 없다는 법리를 통해 개인정보처리자의 유출 방지 책임에 대해 소극적으로 판단하고 있다"고 법률적 미비점을 꼬집었다.

소비자주권시민회의는 "2012년부터 2023년까지 반복적으로 발생한 KT에 의한 소비자의 개인정보 유출 현황과 이에 대한 KT와 관리감독기관의 처리 결과를 조사했다"면서 이 같은 조사결과를 근거로 개인정보보호와 관련해 개선의견을 제안했다.

소비자주권시민회의는 "KT는 본인확인기관으로서 공적 특혜를 받고 있음에도 지난 10년간 지속적· 반복적으로 약 2,000만건이 넘는 대량의 개인정보 유출을 방지하지 못한 책임이 있다"며 "이러한 개인정보 유출로 인해 KT가 부담한 법률적 책임은 약 9000만 원 상당의 행정상 과태료와 과징금뿐이다. 특히 KT는 개인정보 유출과 관련해 피해자에 대한 민사상 손해배상책임을 인정하지 않고 소송을 통해 다퉈왔다. 이에 따라 한번 유출됨으로써 다시 회복될 수 없는 피해를 입은 소비자들의 고통은 계속 가중되고 있다"고 지적했다.

이어 "그러나 KT는 재발방지를 위한 대규모 정보보호 투자에도 불구하고 지난 2022년 11월 다시 한번 개인정보호법상 안전조치의무 위반으로 개인정보보호위원회로부터 300만 원의 과태료 처분을 받은 사실이 있다"며 "KT는 향후 반복적으로 발생하는 개인정보 유출에 대한 내부의 고질적이고 구조적인 문제점을 파악하고 적극적인 태도로 개인정보가 유출된 소비자의 피해가 회복될 수 있도록 노력해야 한다"고 요구했다.
 

소비자주권시민회의 또 최근 정보통신기술의 혁신과 함께 개인정보를 활용한 다양한 서비스의 이용자가 급증하면서 개인정보의 중요성과 유출의 위험성이 함께 높아지고 있다며 "이용자의 개인정보를 보호해야 하는 기업과 관리감독기관의 역할과 책임이 더욱 중요해지고 있다"고 강조했다.

종래 법원은 개인정보 유출이 일어난 경우 정보통신서비스 제공자(현행 개인 정보처리자)가 방송통신위원회 고시에서 정하고 있는 기술적·관리적 보호조치를 다한 경우 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상· 계약상 의무를 위반하지 않은 것으로 판단해 정보통신서비스 제공자의 책임을 소극적으로 인정하고 있다. 그리고 정보통신서비스 제공자의 책임을 인정하는 경우에도 법원은 5~10만 원대의 소액 위자료만 인정하고 있다.

이에 소비자주권시민회의는 "이러한 판례의 태도 아래 반복되고 있는 개인정보 유출로 인한 소비자의 피해를 방지하기 위해서 개인정보보호위원회는 '개인정보의 안전성 확보조치 기준'의 준수가 개인정보 유출 피해를 방지하는데 현실적으로 도움이 될 수 있도록 기준을 고도화하고 개인정보처리자가 개인정보 유출 피해자에 대해 현실적인 수준의 손해배상책임을 부담할 수 있도록 개선해야 한다"면서 법률 정비의 필요성을 제안했다.

끝으로 "법원도 개인정보 유출에 대한 종래의 소극적 태도에서 벗어나 기업에 대한 사회·경제적 고려보다는 입법자의 입법 목적과 제도에 대한 사회적 공감대에 따라 피해자의 피해가 현실적으로 구제될 수 있도록 적극적인 태도를 보여야 한다"고 강조했다.

한편 현재 개인정보의 처리와 보호에 관한 사안을 담당하고 있는 정부 부처는 개인정보 보호위원회이다. 개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 관리·감독하기 위한 합의제 중앙행정기관이다. 특히 2020년 8월 5일 시행된 데이터 3법 개정에 따라 행정안전부, 방송통신위원회, 금융위원회로 분산돼 있던 개인정보보호 감독기능을 통합해 전담하고 있다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]