은폐 의혹에도 차라리 해킹 서버 폐기?...유명무실 정보보호 관련 법

2025년에 이어 새해 들어서도 개인정보 유출이 잇따르는 가운데, 정보통신망법과 개인정보보호법을 둘러싼 논란이 확산하고 있다. 2025년을 들쑤셨던 통신 3사 해킹 사태가 최근 KT와 LG유플러스에 대한 민관합동조사단(합조단) 조사 결과 발표로 겉으로는 일단락된 모습이다. 하지만, 조사 과정에서 확인된 사고 은폐 의혹과 맞물려 규율 체계 정비가 시급하다는 시각이 많다. 해킹 사고가 터지더라도 관련 서버 등을 폐기한다면, 엄격한 인과관계 입증이 요구되는 ‘과징금’보단, 상대적으로 가벼운 ‘과태료’ 처분에 그칠 수 있다는 점이 이번 해킹 사태로 드러났기 때문이다. 이 때문에 증거 훼손을 ‘중대 가중 사유’로 명문화하거나 고의·조직적 은폐가 확인될 경우, 사후라도 최고 수준 제재인 ‘영업정지’ 조치를 취할 수 있게 보완 입법이 필요하다는 목소리가 높다.

해킹 은폐 의혹 경찰 수사 의뢰

KT, 고의적 은폐로 조사 방해 정황

통신 업계에 따르면, 해킹 은폐 의혹을 받는 KT와 LG유플러스는 경찰 수사를 앞두고 있다. 이는 최근 이들 기업을 조사한 합조단이 경찰에 수사를 의뢰했기 때문이다. 합조단은 지난해 12월 조사 결과 발표에서 이들 통신사가 서버를 폐기하거나 운영체제(OS)를 재설치해 조사를 제대로 할 수 없었다고 밝혔다. 과학기술정보통신부(과기정통부)는 KT가 고의로 정부 조사를 방해하려 침해 정황이 있는 서버 폐기 시점을 허위로 제출했을 가능성을 의심한다. 또, 폐기 서버 백업 로그 여부를 지연 보고했다고 봐 지난해 10월 경찰에 수사 의뢰했다. LG유플러스도 마찬가지다. 현장조사에서 LG유플러스가 합조단이 요구한 서버와 다른 서버를 제출했고 유출이 추정되는 서버는 운영체제 업그레이드로 침해 사고 흔적을 확인할 수 없었다고 합조단은 밝혔다. 앞서 KT는 지난해 9월 무단 소액결제 사태로, LG유플러스도 해킹 의혹이 불거져 각각 정부 부처 조사를 받았다.

해킹 사고 이후 이들 기업 대응 방식도 입길에 올랐다. KT는 정부 발표에서 고의적 은폐를 통한 조사 방해 정황이 드러났다. 악성코드 감염 사실을 알고도 보안을 강조하며 가입자를 유치하는 ‘대범함’을 보였다. LG유플러스는 앞서 해킹 의혹에 이어 자사 AI 서비스에서도 민감한 정보가 줄줄이 유출됐지만 이들은 ‘일부 정보가 일시적으로 작업자 실수에 의해 노출되는 현상’이라고 둘러댔다.

경찰 수사 의뢰는 달리 말해, 잇따른 해킹 사태에 대한 제재 사각지대를 드러낸 것이란 지적이 나온다. 행정 제재 공백을 형사 처벌로 보완할 수밖에 없는 상황이라는 의미다. 형사 처벌만으로 기업 경영 행태에 실질적인 영향을 미칠 수 있을지 물음표를 다는 시선도 많다. 법조계 관계자는 “형사사건은 ‘합리적 의심을 배제할 정도’의 입증이 필요한데 서버, 로그, 접근 기록 등이 없으면 범죄 성립을 입증하기 까다롭다. 서버 폐기 등으로 증거 불충분 처분을 받거나 불기소 가능성도 배제할 수 없다”고 봤다.

통신 업계 해킹 사고 가운데 ‘죄질’만 놓고 보면 KT와 LG유플러스가 더 심각하다는 평가가 많다. KT는 서버 폐기, 악성코드 대량 삭제 등 해킹 은폐·조사 방해 의혹이 제기됐다. 이 탓에 로그, 계정 접근 기록, 악성코드 잔존 흔적이 사라졌다. LG유플러스는 기술적 조사 자체가 불가능한 수준으로 증거 인멸이 이뤄졌다는 의혹을 받는다. 그럼에도, 현재 KT는 3000만원 이하 ‘과태료’라는 ‘솜방망이’ 처벌만 받았다. LG유플러스는 시정명령이나 과태료 부과조차 이뤄지지 않았다.

KT의 경우 개인정보보호위원회(개보위) 제재가 남았지만, 향후 그 수위를 두고 논란이 일 수 있다. 펨토셀 관리 부실과 서버 은폐 의혹 등 과실 자체는 SK텔레콤(2300만명 개인정보 유출) 못지않게 심각하다고 여겨진다. 하지만, 확인된 개인정보 유출 범위만 놓고 보면 SK텔레콤보다 적다. 통신 업계 관계자는 “침해 사실과 범위를 비교적 투명하게 공개한 기업은 가장 강한 제재를 받고 사고 흔적을 제거한 기업일수록 처벌 상한이 낮아지는 왜곡된 인센티브 구조를 드러낸 것”이라 지적했다.

‘영업정지’ 등 보완 입법 움직임

조사 방해 행위 금지도 명문화해야

사정이 이렇자, 정보통신망법과 개인정보보호법에 대한 보완 입법이 시급하다는 시각이 확산하고 있다.

우선 정보통신망법 차원에서는 해킹 사고 인지 이후 서버 폐기나 운영체제 재설치 등 조사 방해 행위 자체를 명시적 위반 행위로 규정해야 한다는 지적이 나온다. 현행 법 체계에서는 개인정보 유출 여부나 범위를 입증해야만 제재가 가능하지만, 서버나 로그 기록이 사라지면 행정 제재가 사실상 무력화된다. 전문가들은 최소한 사고 발생 시점부터 일정 기간 핵심 서버와 로그를 의무적으로 보존하고 이를 위반할 경우 제재로 직결되는 장치를 마련해야 한다고 입을 모은다.

염흥열 순천향대 정보보호학과 교수는 “서버를 임의로 폐기하거나 운영체제를 재설치해 실질적으로 조사를 방해하는 행위를 금지하는 규정이 정보통신망법에 필요하다”고 말했다.

개인정보보호법 역시 손질이 불가피하다는 시각이 많다. 특히, 정치권을 중심으로 최근 급물살을 탄 개인정보보호법 개정에 서버 폐기·증거 훼손을 ‘중대 가중 사유’로 명문화해야 한다는 목소리가 힘을 얻는다. 서버 폐기나 증거 훼손을 ‘중대 가중 사유’로 명문화해 과징금 산정 시 불리하게 작용하도록 하거나, 고의·조직적 은폐가 확인되면 전기통신사업법 등에 따라 사후라도 최고 수준 제재인 영업정지까지 가능하도록 해야 한다는 주장이다.

현재 개보위는 반복·중대한 개인정보보호법 위반 행위에 대해 전체 매출액의 최대 10%까지 과징금을 부과할 수 있는 징벌적 과징금 특례 도입을 추진 중이다. 고의 또는 중과실, 피해 규모 등 특정 요건에 해당할 경우 과징금 상한을 기존 매출액 3%에서 최대 10%까지 상향하는 게 핵심이다.

최근 국회 과학기술정보방송통신위원회(과방위) 해킹 TF 회의에서도 해킹 사실을 고의적으로 은폐하거나, 삭제한 위법 사업자에게는 영업정지가 필요하다는 다수 의견이 제기됐던 것으로 알려진다.

익명을 원한 국회 과방위 의원실 관계자는 “LG유플러스의 경우도 서버 폐기, 로그 삭제 등으로 정상적인 민관합동 조사가 불가능한 상황으로 결론 났지만, 이와 관련해 정부는 경찰 수사 의뢰 말고는 특별히 할 수 있는 조치가 없는 실정”이라며 “혹여나 기업들에 해킹당했을 때는 ‘은폐하고 감추는 게 정답’이라는 잘못된 메시지를 줄 우려도 있다. 이 때문에 고의, 조직적 은폐가 확인되면 사후라도 영업정지까지 가능하도록 제재할 필요가 있다”고 목소리를 높였다.

다만, 일각에서는 당근도 함께 제시돼야 한다는 지적이 나온다. 실제 부과되는 과징금은 현행 기준인 매출액 3% 한도에 못 미칠 때가 많다. 전 세계에서 가장 과징 금액이 높은 싱가포르가 10%다. 중국(5%), 유럽 및 영국(4%) 등이 뒤를 잇는다. 나머지 대부분 국가는 매출액 대비 과징금 한도를 정해두지 않고 있다. 홍준호 성신여대 융합보안공학과 교수는 “당근 없이 과징금 한도만 높여 채찍만 휘두른다면 역효과가 날 수 있다”고 말했다.

[배준희 기자 bae.junhee@mk.co.kr]

[본 기사는 매경이코노미 제2343호 (2026.01.14~01.20일자) 기사입니다]

[Copyright (c) 매경AX. All rights reserved. 무단 전재, 재배포 및 AI학습 이용 금지]