개인정보보호위원회는 24일 제19회 전체회의를 열고 대법원 확정판결로 과징금 부과 처분이 취소된 이들 2개 사업자에 대한 재처분을 의결했다. 2014년 6월 방송통신위원회는 KT가 개인정보 유출 사고와 관련 기술적·관리적 보호 조치를 제대로 하지 않았다며 7000만원의 과징금을 부과한 바 있다. 2013년 8월부터 6개월간 KT 홈페이지 해킹으로 가입자 개인정보 1170만여건이 유출되는 사고가 있었는데 KT가 이에 관한 적절한 조치를 하지 않았다는 것이다.

방통위는 2018년 3월 개인정보 유출 사고로 물의를 빚은 이스트소프트에 1억1200만원의 과징금을 부과한 바 있다. ‘알패스’ 이용자 16만여 명의 아이디·비밀번호 등이 해커에게 유출됐는데, 이스트소프트가 개인정보 보호조치 규정을 제대로 준수하지 않았다고 방통위는 판단했다.

그러나 KT와 이스트소프트의 과징금 부과처분 취소 소송에서 대법원은 원고 측의 손을 들어줬다. 대법원은 KT가 사회 통념상 어느 정도 기대 가능한 기술적 보호조치를 했고, 이스트소프트의 경우에도 보안 솔루션 설치 의무를 위반한 것은 아니라고 판단했다. 이에 따라 대법원은 법 위반이 인정되지 않는 부분이 당초 과징금 산정에 영향을 미쳤을 것으로 보고, 과징금 부과 처분을 전부 취소했다.

방통위의 해당 사무를 이어받은 개인정보위는 과징금을 재산정하게 됐다. 다만 판결로 인정된 법 위반사항에 대해 KT에는 원처분보다 2천만원 감액된 5000만원, 이스트소프트에는 1400만원 감액된 9800만원의 과징금을 다시 부과했다. 개인정보위는 “이번 대법원 판결은 ‘부분적인 안전조치나 불완전한 시스템 운영은 법 위반에 해당한다’는 점을 확인한 데 의미가 있다”고 강조했다.

KT 판결에서는 퇴직자의 단순한 계정 말소만으로 충분한 안전조치를 했다고 볼 수 없고, 해당 URL 정보 등 접근권한의 말단까지 완전히 삭제해야 적법한 조치라는 점을 명시했다고 개인정보위는 설명했다. 당시 KT를 겨냥한 해킹 프로그램이 퇴직자 계정을 이용해 만들어졌기 때문이다.

또 이스트소프트 판결에서 재판부는 ‘개인정보보호시스템을 설치했더라도 해커로부터 부적절한 접근을 탐지·차단할 수 있도록 제대로 운영되지 않는다면 법 위반에 해당한다’고 판시했다. 송상훈 개인정보위 조사조정국장은 “판결의 취지와 현시점의 기술 수준 등에 대해 산업계 의견수렴을 거쳐 개인정보 안전조치 의무사항을 꾸준히 보완하겠다”고 말했다.

한편 개인정보위는 이날 전체회의에서 개인정보 열람 또는 파기 의무를 위반한 5개 사업자에게 총 1450만원의 과태료 부과를 의결했다. 개인정보위에 따르면 한화생명보험은 보험상품을 설계만 진행하고 실제 가입하지 않은 고객의 개인정보를 보유기간(동의 일로부터 1년)이 지났음에도 파기하지 않았던 것으로 나타났다. 한화생명보험에는 과태료 450만원이 부과됐다.

한신은 퇴직 직원 165명의 개인정보를 보유기간(근로기준법상 3년)이 지났음에도 파기하지 않아 과태료 300만원이, 학원 블로그에 수강생의 성명, 학교, 입시결과 등이 포함된 게시물을 삭제하지 않고 약 8년간 게시한 학원에도 300만원의 과태료 처분이 내려졌다.

유선희기자 view@dt.co.kr