인터넷진흥원 KT 개인정보보호 인증 취소… “허위 자료 제출”

작성자: KISA | 조회: 2834회 | 작성: 2012년 8월 21일 4:53 오후

KT 개인정보보호 인증 취소... "허위 자료 제출"

[보도 그 후] 해킹 늑장 신고에 '덜미'... KISA 인증 취소 첫 사례

12.08.21 11:19l최종 업데이트 12.08.21 11:48l


▲ 표현명 KT 개인고객부문 사장과 송정희 부사장이 10일 오전 KT 광화문 사옥에서 해킹 방지 대책을 발표하기에 앞서 870만 고객 개인 정보를 유출한 데 대해 머리 숙여 사과하고 있다.
ⓒ 김시연	관련사진보기

870만 고객 개인정보 유출 사실을 알고도 '면죄부 인증'을 받은 KT가 결국 철퇴를 받았다.

방송통신위원회와 한국인터넷진흥원(KISA)은 21일 지난달 KT에게 교부한 PIMS 인증을 취소하기로 했다고 밝혔다. 표면적으로 인증 과정에서 허위 자료를 제출했다는 이유지만 지난달 발생한 해킹 사고 '늑장 신고'도 감안한 것으로 알려졌다. 지금까지 KISA에서 개인정보보호 관련 인증을 받았다 박탈당한 기업은 KT가 처음이다.

개인정보보호 인증 취소 첫 사례... KT '당혹'

KISA 관계자는 21일 "지난 17일 인증위원회를 열어 KT 인증을 취소하기로 결정했다"면서 "오늘 중으로 KT에 통보할 예정"이라고 밝혔다. 다만 구체적인 인증 취소 사유는 경찰 조사에도 영향을 미칠 수 있다는 이유로 공개하지 않았다.

방통위 관계자는 "인증 심사를 받을 때 KT가 제출한 입증 자료 가운데 사실과 다른 게 몇 가지 확인됐다"면서 "기술적 항목이 문제가 됐지만 해킹 사고를 알고도 인증서를 받은 점도 감안한 걸로 알고 있다"고 밝혔다.

앞서 KISA는 지난 9일 KT가 지난달 18일 해킹 사고를 숨긴 채 PIMS 인증을 받았다는 <오마이뉴스> 단독 보도와 관련, 인증 취소 절차에 착수했다.(관련기사: 870만 개인정보 털린 KT에 방통위 '면죄부' 인증 )

KT가 내부적으로 해킹 사고를 인지하고 경찰에 신고한 시점은 지난달 13일이었지만 KISA와 방통위에는 5일이나 늦은 18일 통보했다. 결국 KISA는 같은 날 해킹 사실을 모른 채 KT에 인증서를 전달했다.

당시 KISA 관계자는 "KT가 인증 과정에서 해킹 사고 발생 사실을 의도적으로 숨긴 것으로 보고 있다"면서 "거짓이나 허위로 인증을 취득했거나 인증 기준을 준수하지 않은 게 밝혀지면 인증 취소가 가능하다"고 밝히기도 했다.

하지만 KT는 PIMS 인증과 해킹 사고의 무관함을 주장해온 만큼 반발도 예상된다. 다만 KT 관계자는 "아직 KISA에서 아무런 통보를 받지 못했다"며 입장 발표를 유보했다. 앞서 KT그룹 정보관리 책임자인 송정희 KT 부사장은 지난 10일 재발 방지 대책을 발표하는 자리에서 "이미 지난 3월에 (인증 심사를) 받았던 것"이라면서 "이번 일과는 상관이 없다"고 밝혔다.

PIMS 인증은 지난 2010년 기업들의 개인정보 대량 유출 사고를 방지할 목적으로 도입됐다. 하지만 방통위는 PIMS 인증 기업에서 개인정보 유출 사고 발생 시 과징금을 50%까지 감면해줘 '면죄부 인증'이란 지적을 받고 있다.


ⓒ 오마이뉴스 박종현

인터넷진흥원 KT 개인정보보호 인증 취소… “허위 자료 제출”에 달린 댓글 1개

KT, 꺼지지 않는 ‘고객정보 유출’의 불씨

악재에 흔들흔들

(박미리 기자) / 기사작성시간 : 2012-08-20 11:03:34

KT고객 870만명의 ‘개인정보 유출사건’에 대한 파장이 계속 확산되고 있다. 일각에서는 KT의 미온적인 대응도 이에 일조했다는 지적이 나온다. 실제 경찰이 사건을 발표한 지 12일이 지나서야 사과의 말을 공식적으로 전하는 자리가 마련됐고, 현장에 이석채 회장의 모습까지 보이지 않자 KT를 향한 비난여론은 가중되고 말았다. 뿐만 아니라 이날 자리에서 KT는 “유출자체는 피해 보상범위에 포함되지 않는다”며 선을 그은 것으로 알려졌다. 이에 경실련에서는 성명을 내고 “피해보상을 하지 않겠다는 입장은 고객들을 무시한 처사”라며 일침을 가한 상태다. 이런 가운데 KT가 지난 7월 획득한 PIMS(개인정보보호 관리체계) 인증을 박탈당할 수도 있는 상황에 놓인 것으로 알려졌다. ‘고객정보 유출사건’이 인증 취소사유로 작용한다는 것이다.

KT “보상범위 아니야” VS 경실련 “피해보상 필요”
얼굴 비추지 않은 대표…“이석채는 어디에?” 비난↑
법무법인 평강, KT 상대로 형사 소송도 예정
어렵게 얻은 ‘PIMS 인증’, 취소될 수도 있다?

‘고객정보 유출사건’에 대한 KT의 대응과 관련, 지난 12일 경실련에서는 성명을 내고 “KT의 잘못된 개인정보 인식과 무책임한 발언에 대해 강력히 비판하며, 즉각적인 피해보상 대책마련을 촉구한다”고 밝혔다.

‘보상’ 놓고 대립

이어 경실련은 “KT는 매월 요금을 통해 개인정보 관리·보호 비용을 고객에게 직접적으로 받고 있어 개인정보보호 책임과 의무가 더욱 크다고 할 수 있다”고 말한 뒤 “‘불가항력적인 사건이었고, 사법기관의 법적 판단에 따라 피해배상은 하겠지만, 자발적이고 직접적인 피해보상은 하지 않겠다’는 KT의 입장은 고객들을 무시한 처사”라고 지적했다.

이러한 경실련의 비판은 지난 10일 KT 임원진이 기자설명회에서 밝힌 입장을 겨냥한 것으로, 이날 자리에는 개인고객부문 총괄 표현명 사장과 전산정보시스템 총괄 송정희 부사장이 참석해 ‘고객정보 유출사건’에 대한 사과의 말을 전했다.

그러나 KT는 이번 사건에 대해 사과의 말을 전하면서도, 정작 피해고객에 대한 보상과 관련해서는 선을 그은 것으로 알려졌다. “유출 자체는 피해보상 범위가 아닌 것으로 알고 있다. 개인정보 유출로 인해 다른 피해가 발생했다면 보상할 것”이라는 입장을 내세운 것이다.

또한 “개인정보가 침해된 고객들은 개인정보가 추가적인 범죄 등에 악용될 가능성은 없으므로 안심해도 된다”, “이번 해킹사건은 지금까지와 달리 범인전원 검거와 자료 회수가 이뤄졌다” 등의 언급도 했던 것으로 알려져 안일한 대응이라는 논란을 빚고 있는 상태다.

더욱이 기자설명회 자리에 이석채 회장이 나타나지 않았다는 점과 관련, 의구심을 표하는 이들도 있다. 앞서 고객정보 유출사건이 발생한 옥션, SK커뮤니케이션즈, 현대캐피탈 등은 회사 대표들이 직접 공개사과 자리에 참석해 허리를 숙였던 것과 비교되는 대응이라는 지적이다.

이를 두고 업계 관계자는 “고객 870만명의 개인정보가 유출됐고, 집단소송 움직임까지 있는 등 사태가 심각해져가고 있는 상황이다. 그런데도 이석채 회장이 기자설명회에 참석하지 않은 것은 이해할 수 없다. 자리에 참석해 피해고객들에게 사과의 말을 전해야 했다”고 주장했다.

집단소송, 만반의 준비

이번 사건은 집단소송으로까지 번진 상태다. 법무법인 평강은 지난달 30일 인터넷 카페를 개설해 지난 5일 1차 소송인단 신청을 마감했다. 평강에 따르면, 약 2만7000명이 이번 소송에 함께하는 것으로 전해졌다. 일명 ‘100원 소송(인지대 2500원 별도)’으로 불리며 큰 반향을 불러일으킨 결과로 보인다.

이후 평강은 지난 14일 공지사항을 내고 “개인정보관리를 제대로 하지 못한 기업에 대한 손해배상은 원고 측의 입증실패로 번번이 원고 패소로 이어졌고, 개인정보유출범죄를 야기한 당사자들은 민사책임은 거의 부담하지 않고 형사책임만 부담하는 형태로 종결돼 반복적인 개인정보 유출사건이 발생했다”며 “기존의 집단소송의 틀을 완전히 바꾸는 전략을 사용한다”고 밝혔다.

이는 평강 측이 승소를 위해 만전을 기하겠다는 의도인 것으로 여겨지며, 이번 소송이 기업들의 손을 들어줬던 전례와는 달라질 수 있다는 가능성도 나오게 하는 대목이다. 평강이 새롭게 내세운 전략은 △KT에 대한 형사고소 진행 △해커 등에 대한 민사소송 추가진행 두 가지다.

평강은 먼저, KT에 대한 형사고소 진행건과 관련해서는 “수사결과를 지켜봐야겠지만, 만약 증거불충분을 이유로 무혐의 처분을 하게 되면, 그 무혐의 처분에 대해서는 즉시 항고를 하고 고등검찰청의 항고기각에 대해서는 법원에 재정신청으로 즉각 대응하겠다”고 밝혔다.

또한 해커 등에 대한 민사소송 추가진행건에 대해서는 “그간 해커가 정보통신망법 등 관련범죄로 처벌받더라도 그 형량이 높지 않았고, 형벌의 범죄 억제적 효과가 미약했다. 이번이 선례가 된다면 누구도 가담하지 못할 것”이라며 그 이유에 대해 설명했다.

이처럼 평강에서 당초 내놨던 안을 수정, 보다 강경한 안을 내놓으면서 이번 집단소송이 치열한 양상을 띨 것으로 전망되는 것이다.

KT 관계자는 이번 사건과 관련해 “불법TM(텔레마케팅)을 받았다는 것이 피해인지 명확한 규정이 불확실하다. 현재 피해사실에 대한 과실여부를 조사하고 있고, 법적 판결이 나오면 그에 대해 수긍할 것”이라는 입장을 내놨다.

PIMS 인증, 박탈?

설상가상 KT는 이번 ‘고객정보 유출사건’으로 인해 지난달 18일 취득한 ‘PIMS(개인정보보호 관리체계) 인증’까지 박탈당할 위기에 처한 것으로 알려졌다. PIMS 인증은 기업이 개인정보보호 활동을 위해 필요한 일련의 보호조치체계를 구축했는지 점검해 기업에 인증을 부여하는 제도로, 인증을 받은 기업에서 개인정보보호 법규를 위반하면 과징금을 감경 받을 수 있다.

한 언론에 따르면, 한국인터넷진흥원(이하 KISA)는 방통위와 함께 실태조사반을 구성하고 KT의 개인정보보호 관리체계를 점검한 결과 인증취소에 해당하는 부적격 사유를 발견했으며, KT의 PIMS 인증취소 사유로 △사후관리심사에서 ‘부적격’ 판명 △고객정보 유출사건 묵인의혹 등 2가지가 지목된 것으로 보도됐다.

특히 고객정보 유출사건 묵인의혹은 KT가 경찰과 KISA에 알린 시점이 달랐다는 데서 나온 것으로 알려졌다. KT는 지난달 13일 870만명 고객의 개인정보 유출사건을 인지, 당일 경찰에 신고했으나 KISA에는 5일이 지난 18일 이 같은 사실을 보고한 것으로 전해졌다. PIMS 인증을 받는 당일 고객정보 유출에 대해 알린 것이다.

KT 관계자는 “현재 이에 대해 검토를 하고 있는 상태로 KISA와 방통위 측에 설명을 하고 있다. 고의로 숨겼다는 주장은 전혀 아니다. 경찰 쪽에 먼저 알렸고, 경찰로부터 상세한 내역을 받은 후 KISA에 전한 것일 뿐”이라고 해명했다.

직원제보, 있었나?

한편, 일각에서는 ‘KT의 묵인의혹’에 힘을 싣는 주장도 제기된 상태다. 지난달 30일 ‘KT 개인정보 유출 해킹피해자 카페’의 ‘공지사항’ 게시판에는 ‘[긴급입수] KT 현직 직원의 KT 해킹 사건 관련 비공개 제보’라는 글이 올라왔다.

자신을 KT 고객센터 상담사라고 소개한 제보자는 “지난 3월부터 고객들에게 ‘전화기 바꾸라는 전화가 많이 온다’, ‘자기 정보에 대해 너무 자세히 알고 있다’ 등 불만이 많이 접수돼 일반 상담사들은 수없이 이런 문의를 제보했지만 본사 측의 응대유형 답변은 ‘KT에서는 정보보안에 문제가 없고, 고객들의 인터넷 회원가입 시 정보제공으로 유출될 수도 있다’는 것”이었다고 주장했다.

이어 “고객들이 한 상담사에게 불법 TM으로 상담하는 건수는 하루에 5~8건 정도가 된다. 상담사가 100명이면 하루에 500~800건, 1000명이면 하루에 5000~8000건에 달하는 문의 내용을 KT에서는 상황파악조차 하지 않아 이런 사태가 벌어진 것”이라고 의구심을 표했다.

이에 대해 KT 관계자는 “프로세스에 대해 잘못 얘기하는 것도 있고, 그런 상황(불법TM이 많이 온다는 문의)에 대해 전혀 받은 사실이 없다”며 “이것과 관련해 (KT 측에서도) 확인 중”이라고 밝혔다.

박미리 기자

댓글이 닫힌 상태입니다.