‘개인정보 유출’ LG유플러스 과징금 68억에 그친 이유 [뉴스AS]

임지선 2023. 7. 13. 16:10
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
[뉴스AS]개인정보위 ‘과징금 68억원’만 부과한 속사정
엘지쪽 “부가서비스 매출만 관련” 주장 수용

연합뉴스

연합뉴스

연매출 13조원의 이동통신사가 가입자 정보를 유출해 부과받은 과징금 ‘68억원’은 적당한 금액일까?

개인정보보호위원회가 12일 발표한 엘지유플러스 과징금의 기준선이 ‘통신 관련 매출’이 아닌 그가운데 극히 일부분인 ‘부가서비스 매출’이라는 사실이 알려지면서 고개를 갸우뚱하는 이들이 많다. 10조원이 넘는 ‘통신 매출’만 기준으로 산정했을 경우에 수백억원 규모에 달했을 과징금이 68억으로 줄어든 것 아니냐는 것이다.

연초부터 이어졌던 ‘엘지유플러스 개인정보 유출’ 사태에 대한 정부 차원의 조사가 12일 개인정보위의 과징금 68억원 부과 결정 발표로 일단락됐다. 개인정보위는 국내 3위 이동통신사인 엘지유플러스의 보안이 “매우 취약한 상황”이라 지적했고 68억원은 ‘역대 국내 기업 과징금 중 최대금액’이라 설명했다. 하지만 지난해 구글에 692억원, 메타에 308억원을 부과했던 개인정보위의 결정을 돌아보면 ‘최대 금액’이란 설명이 그리 와닿지 않는다.

과징금 액수를 낮추는 데 가장 크게 기여한 것은 ‘기준선’이다. 개인정보보호법은 ‘법 위반행위와 관련한 매출액의 3% 이하’에 해당하는 금액을 과징금으로 부과할 수 있도록 하고 있다. 최근 개정된 법은 ‘전체 매출액의 3% 이하’로 기준을 바꿨지만 오는 9월부터 시행이어서 이번에 적용되지 않았다. 결국 이번 엘지유플러스 사태에서 과징금 산정의 핵심은 ‘관련 매출’이 무엇이냐 하는 점이었다.

엘지유플러스의 입장을 대리해온 법무법인 세종은 이번 사태에 세가지 논리로 대응한 것으로 알려졌다. 첫째는 “정보유출 경로의 확실한 인과관계가 없어 과징금 부과 대상이 되지 않는다”는 점이다. 즉, 엘지유플러스 시스템이 진짜 해킹됐다는 증거가 없어 처벌받을 필요가 없다는 이야기다. 이 부분은 개인정보위가 유출된 정보의 암호값 등으로 입증해냈다. 다음 논리가 바로 “정보가 유출된 고객인증시스템(CAS)이 부가서비스와 관련된 것이니 관련 매출을 ‘부가서비스 매출’만으로 한정해야 한다”는 것이다. 세번째는 사고 이후 엘지유플러스의 노력을 참작해달라는 것이었다.

사실 2018년 6월에 해킹되고도 계속 방치돼 올해 초까지 악성코드마저 남아있던 엘지유플러스의 고객인증시스템은 부가서비스만을 위한 것이 아니다. 해당 시스템은 부가서비스를 포함해 12가지 서비스와 연관된 업무를 하는 것으로 확인됐다. 또한 부가서비스 인증을 위해 부가서비스를 가입하지 않은 통신 이용자나 공공 와이파이 이용자 등의 정보까지 남아있던 것으로 알려졌다.

때문에 엘지유플러스를 6개월 넘게 조사해온 개인정보위 직원들은 12일 전체회의에 두 가지 안을 들고 들어갔다. ‘12가지 서비스 관련 매출액’ 기준 과징금 부과안과 엘지유플러스의 주장을 반영한 ‘부가서비스 매출 기준안’이었다.  긴 토론 끝에 ‘부가서비스 매출 기준안’이 채택됐다고 한다. 수백억원대 이상으로 부과될 수 있었던 과징금 액수가 68억으로 줄어든 순간이었다.

서울 용산 엘지유플러스 본사의 모습. 엘지유플러스 제공

서울 용산 엘지유플러스 본사의 모습. 엘지유플러스 제공

기업이 ‘관련 매출액’을 줄여 말하는 것은 반복되는 현상이다. 지난달 개인정보위는 누리집(홈페이지) 게시판의 관리를 소홀히 해 4만6134명의 개인정보를 유출한 엘지(LG)헬로비전에 과징금 11억원과 과태료 1740만원을 부과했다. 당시 엘지헬로비전은 “과징금 산정의 기준이 되는 ‘관련 매출’을 ‘누리집 게시판 매출’로 해야하며 게시판 매출은 0원”이라고 주장한 것으로 알려졌다. 당시 개인정보위는 ‘누리집 게시판도 영업 활동을 위한 것’이라 판단해 ‘본사 매출액’을 기준으로 과징금을 산정했다고 한다.

국내 매출액을 따로 알려주지 않는 메타와 구글의 경우에는 개인정보위가 별도의 계산까지 해야 했다. 지난해 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등 개인정보보호법을 위반한 메타와 구글에 과장금을 부과하기 위해 개인정보위는 두 회사가 제출한 글로벌 매출액에서 국내 이용자 비율을 곱한 금액을 ‘관련 매출’로 잡았다.

문제는 오는 9월 법이 개정돼 과징금 부과의 기준이 ‘전체 매출액의 3% 이하’로 바뀐다고 하더라도 기업이 ‘관련 없는 매출액’임을 입증하면 이를 제외하는 단서조항이 붙어있어 ‘기준 낮추기 꼼수’가 계속될 수 있다는 점이다. 오병일 진보네트워크센터 대표는 “통신서비스 가입자 정보가 유출됐는데도 서비스별로 매출을 쪼개서 잡은 것은 나쁜 선례로 남을 수 있다”며 “이렇게 된다면 개인정보보호법 개정 이후에도 기업이 ‘관련없는 매출’이라는 주장을 강하게 하고 그것이 수용될 가능성이 커 개정 취지가 훼손될까 우려된다”고 말했다.

임지선 기자 sun21@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지

이 기사에 대해 어떻게 생각하시나요?
한겨레에서 직접 확인하세요. 해당 언론사로 이동합니다.