"해킹당해 개인정보 유출" 인크루트, 과징금 취소소송 '패소'…SKT는?

최근 국내 최대 이동통신사 SK텔레콤이 고객 유심(USIM) 정보를 해킹당한 사건이 벌어진 가운데 취업준비생 개인정보를 해킹 당했던 인크루트에 대한 과징금 처분이 적법하다는 판결이 최종 확정됐다.

23일 법조계에 따르면 인크루트가 개인정보보호위원회를 상대로 낸 과징금 부과 처분 취소 소송에서 지난달 말 원고패소로 결론 난 1심 판결이 최근 확정됐다.

이 판결이 확정된 지난 19일에는 공교롭게도 가장 많은 이동통신가입자를 보유한 SK텔레콤에서 유심 정보가 유출됐다. 해커가 악성코드를 이용해 단말기 고유식별번호와 같은 유심 관련 정보를 빼낸 것으로 알려졌다.

SKT 해킹 날 인크루트 과징금 확정…"보호 조치 못해"

SK텔레콤은 해킹 피해가 발생한 다음 날 한국인터넷진흥원(KISA)에 사고를 알렸다. 사흘 뒤엔 개인정보위에 개인정보 유출 정황을 신고했고 T월드를 통해 유심보호서비스를 무료 제공한다고 밝혔다. 유심보호서비스는 타인이 가입자 유심 정보를 복제·탈취해 다른 기기에서 통신서비스에 접속하지 못하도록 차단한다. SK텔레콤은 이날 모든 가입자에게 유심보호서비스 가입을 권장하는 문자메시지를 순차 발송한다고 공지했다.

SK텔레콤은 개인정보위 과징금 처분을 받게 될 전망. 어떤 정보가 얼마나 새어 나갔는지 아직 파악조차 못하고 있는 상황이지만 유출 자체만으로 과징금 처분 대상이 될 수 있다. 피해 규모는 포렌식 작업이 진행 중인 만큼 과학기술정보통신부를 비롯해 경찰, 개인정보위, KISA 등의 조사 결과가 나와야 명확하게 알 수 있다.

앞서 해킹 공격으로 개인정보가 유출됐던 인크루트의 경우 과징금 7060만9000원이 확정됐다. 법원은 개인정보 유출을 방지할 수 있는 조치를 제대로 취하지 않을 경우 개인정보위 과징금 처분이 적법하다는 일관된 판결을 내놓고 있다.

인크루트는 2020년 9월 말 로그인 페이지에 크리덴셜 스터핑 공격을 받았다. 크리덴셜 스터핑은 다크웹 등 타 사이트에서 불법 유통되는 가입자 아이디·비밀번호를 활용해 이를 무작위로 대입하는 수법이다. 인크루트는 휴면계정을 해제할 때 추가 인증 절차를 두지 않아 피해가 컸다. 이 수법으로 총 217만9561회에 달하는 로그인 시도가 이뤄져 모두 3만5076명의 개인정보가 유출됐다.

인크루트는 해킹 이후에야 추가 인증을 요구하는 절차를 마련했다.

서울행정법원 제4부(재판장 김영민)는 "이 사건은 인크루트가 운영한 침입탐지·방지시스템이 비정상적 접속 시도에 대해 충분히 탐지·차단 기능을 하지 못해 발생한 것으로 보인다"며 "인크루트는 이용자 이메일을 받고 나서야 사건을 인지했던 것으로 보이고 사건 발생 이후 얼마 지나지 않아 동일 IP에서 로그인 시도 횟수를 제한하는 정책과 휴면계정 해제를 위해 추가 인증을 요구하는 정책을 적용했는데 이러한 조치는 이전에도 충분히 가능했다"고 설명했다.

그러면서 "인크루트가 사건 당시 사이트에서 수집·보관하는 개인정보에 대해 사회통념상 합리적으로 기대 가능한 정도의 보호조치를 다했다고 할 수 없다"고 꼬집었다.

피해 방지 가능했다면 '기업 책임'…과징금 얼마?

법원은 정보통신서비스 제공자가 개인정보 보호 조치를 취해야 할 법적 의무를 위반했는지 따져볼 때 당시 정보보안 기술 수준, 사업자 업종·영업 규모, 보안조치 내용, 정보보안에 필요한 경제적 비용·효용 정도, 피해 발생 회피 가능성, 이용자가 입게 될 피해 정도 등을 종합적으로 고려해 판단한다.

마찬가지로 해커의 공격을 받았던 건강기능식품 온라인 쇼핑몰 뉴트리코어도 개인정보위로부터 과징금 처분을 받았는데 이 처분 역시 적법하다는 판결이 나왔다. 2022년 10월 뉴트리코아에선 전체 가입자 64만4431명 중 11만9856명의 개인정보가 해킹 공격으로 유출됐다. 개인정보위는 이듬해 3월 뉴트리코어 운영사 에스엘바이오텍에 과징금 4억6457만3000원을 부과했다.

뉴트리코어는 악성코드에 감염되면서 피해를 막지 못했다. 1심 재판부는 "대용량 파일에 대한 업로드·다운로드 제한을 설정하지 않아 악성코드 파일이 업로드 되도록 하고 실행권한을 제한하지 않으면서 외부에서 업로드 된 악성코드 파일이 실행되도록 하는 등 접근통제를 소홀히 했다"고 지적했다. 뉴트리코어 사건은 다음 달 말 항소심 선고가 예정돼 있다.

과징금은 매출액 기준으로 부과하는데 개인정보보호법상 의무를 이행하지 않은 위법 행위로 인해 직간접적으로 영향을 받는 서비스의 직전 3개 사업연도 연평균 매출 3% 이하로 산출한다. 법 위반 행위의 정도, 관계기관 조사 협조·자진 신고 여부 등에 따라 과징금을 감경받을 수도 있다.

직간접 영향을 받는 서비스를 판단하는 기준은 2023년 10월 대법원 판단을 통해 제시됐다. 대법원은 당시 "위반행위로 인해 직간접적으로 영향을 받는 서비스의 범위는 유출 사고가 발생한 개인정보를 보유·관리하고 있는 서비스의 범위"라고 설명했다.

개인정보위는 대규모 개인정보를 처리하는 이통사에서 유출 사고가 발생한 만큼 이를 활용한 보이스피싱·스미싱 등 2차 피해를 입지 않도록 주의를 당부했다.

김대영 한경닷컴 기자 kdy@hankyung.com