신용정보 유출 상한이 50억인데 SKT에 1348억 과징금…형평성·비례성 논란

고학수 개인정보보호위원회 위원장이 8월 27일 오후 서울 종로구 정부서울청사에서 개최된 2025년 제18회 개인정보보호위원회 전체회의에서 의사봉을 두드리고 있다.ⓒ개인정보보호위원회

개인정보보호위원회가 SK텔레콤(SKT)의 대규모 개인정보 유출 사건과 관련해 사상 최대 규모인 1348억원의 과징금을 부과했다.

이는 고의적·영리 목적으로 개인정보를 활용한 구글보다 무거운 제재라는 점에서 형평성·비례성 논란이 제기되고 있다. 전문가들은 이번 사건이 고도화된 APT(지능형 지속 위협) 공격의 결과라는 점에서 기업 책임 전가 보다는 재발방지 및 국가 차원의 방어 체계 강화가 우선돼야 한다고 지적한다.

개인정보보호위원회는 지난 27일 제18회 전체회의를 열고, SK텔레콤의 대규모 개인정보 유출 사건과 관련해 사상 최대 규모인 1348억원의 과징금과 960만원의 과태료를 부과했다고 28일 밝혔다. 지금까지 개인정보위의 역대 최대 과징금은 2022년 구글·메타에 부과된 총 1000억원이었다.

개인정보위는 SKT가 제공하는 이동통신 서비스의 핵심 역할을 하는 다수 시스템에 대한 해킹으로 LTE·5G 서비스 전체 이용자 2324민4649명(알뜰폰 포함, 중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki, OPc) 등 25종의 정보가 유출된 것으로 확인했다.

이 과정에서 접근통제조치 소홀, 접근권한 관리 소홀, 보안 업데이트 미조치, 유심 인증키를 암호화하지 않고 평문으로 저장 등 안전조치 의무 위반과 함께 개인정보 보호책임자 지정 및 업무 수행 소홀, 개인정보 유출통지 지연 등의 문제를 지적했다.

과징금 산정 기준 논란…SKT 제재, 글로벌 사례와 괴리

이 같은 위반 사유에도 불구하고 과징금 수준을 둘러싸고 형평성 논란이 제기된다.

구글은 고객 동의 없는 개인정보 광고 활용으로 692억원의 과징금을 부과받았다. LG유플러스의 경우 IMSI(이동가입자식별번호), IMEI(이동단말기식별번호), 유심 고유번호 등이 유출됐지만, 전체 이동통신 매출이 아닌 실제 정보가 유출된 시스템(CAS·고객인증시스템)과 관련 서비스 매출을 기준으로 68억원의 과징금이 산정됐다.

반면 SKT에는 이를 훨씬 웃도는 과징금이 부과돼 형평성에 맞지 않다는 지적이 나온다.

전문가들은 SKT 역시 유심정보가 유출된 HSS(LTE·5G 음성서비스 인증 시스템)와 해당 서비스 매출액을 기준으로 산정하는 것이 타당하다고 본다.

해외 사례도 과징금 규모가 이보다 낮다. 미국 T-Mobile은 216억원, AT&T는 178억원의 과징금을 받았으며, 일본 NTT니시니혼은 금전 제재가 없었다.

신용정보 유출은 50억 상한…SKT 과징금, 비례성 논란

SGI서울보증보험 해킹 사건에서는 13.2TB(테라바이트)의 개인정보가 탈취된 것으로 알려졌다. 현행 신용정보법은 ‘목적 외 이용·제공’의 경우 전체 매출액의 3% 이하, ‘누출’의 경우 50억원 이하로 과징금을 차등 규율한다.

이에 따라 민감도가 더 높은 신용정보 유출은 최대 50억원에 그치는데, 유심 정보 유출에 이보다 높은 과징금이 부과된 것은 비례성 원칙에 어긋난다는 지적이 제기된다.

징벌보다는 재발방지… 규제 패러다임 전환 필요

이번 해킹은 고도화된 APT(Advanced Persistent Threat) 공격의 특성을 보인 만큼, 기업에만 책임을 전가하기보다 국가 차원의 방어 체계 구축이 필요하다는 지적도 나왔다.

지난 21일 열린 한국데이터법정책학회 세미나에서도 APT 공격은 기존 보안 솔루션이나 기술만으로는 탐지·대응이 어렵다며 국가적 대응 체계의 중요성이 강조됐다.

징벌적 과징금은 결과적으로 기업의 신고와 정보 공유를 위축시킬 수 있다는 우려가 나온다.

특히 기업에만 책임을 묻는 과도한 제재는 오히려 해킹사고를 은폐하게 만드는 역효과를 낳을 수 있다는 지적이다.

실제 한국정보보호산업협회(KISIA)에 따르면 지난해 침해사고를 경험한 기업 중 신고 비율은 19.6%에 그쳤다.

보안 분야 전문가들은 “개인정보 보호의 목적은 기업을 처벌하는 데 있지 않다”며 “동일한 사고 재발을 막고 피해 확산을 최소화하기 위해 예방 중심의 제도로 전환해야 한다”고 강조했다.

영국의 경우 유출 사실을 신속히 보고하고 보완 조치를 이행하면 과징금을 최대 90%까지 감경한 사례가 있다. 국내도 징벌적 규제 일변도에서 벗어나 재발방지 중심으로 규제 패러다임을 바꿔야 한다는 주장이다.