작년 '여기어때' 정보유출 해커, 다른 8개 업체서 290만건 추가 유출

방통위 "해킹경로 입증할 접속기록 없다"…과징금 없이 과태료만 2억

'여기어때' 과징금 부과 기준 적용시, 8개 업체 최소 52억 부과해야



방송통신위원회가 지난해 이용자의 개인정보를 해킹당한 8개 사업자에게 법정 기준인 최소 52억원에서 최대 131억원에 달하는 과징금을 부과하지 않아 직무유기라는 지적을 받고 있다.



29일 국회 과학기술정보방송통신위원회 소속 박선숙 바른미래당 의원에 따르면 방통위는 8개 업체에서 주민등록번호와 은행계좌 정보까지 유출된 사실을 확인하고도 과징금을 부과하지 않고 과태료 2억원만 부과했다.



개인정보를 해킹당한 업체는 ▲네이버네트워크(여행사) ▲에이플러스에셋어드바이저(보험대리점) ▲엔비즈소프트(쇼핑솔루션) ▲제이씨커뮤니케이션(여행사) ▲제이씨현시스템(자동차용품) ▲지에이엠(경마정보) ▲컨텐츠월드(여행사) ▲투어로(여행사) 등 8개 업체다.



해커는 8개 업체에서 이용자의 아이디, 이름, 생년월일, 성별, 이메일, 휴대전화번호, 주소, 여권번호는 물론, 일부 업체에서 주민등록번호, 은행명, 계좌번호까지 290만건의 개인정보를 유출했다.



이 해커는 이들 업체뿐 아니라 지난해 2월 숙박앱 '여기어때'를 해킹해 97만명의 개인정보를 유출하기도 했다.



문제는 방통위가 '여기어때'에만 과징금 3억100만원을 부과했다는 점이다. 당시 '여기어때'의 과징금 부과 기준 매출액은 246억원이었으며, 과징금은 매출액의 1.2%에 해당했다.



반면 '여기어때'를 제외한 8개 업체에 대해선"개인정보 유출 원인과 경로를 파악할 수 있는 '접속기록과 로그기록이 존재하지 않아 유출경로와 시기를 명확히 알 수 없는 점'을 고려했다"며 과징금을 부과하지 않았다.



8개 업체의 총 매출액은 4372억4700만원으로 부과율 1.2%를 적용하면 52억 원이다. 법정 한도인 매출액의 3%를 적용하면 131억 원에 달한다.



이에 박 의원은 지난 11일 국정감사에서 '접속기록이 없다'는 이유로 과징금을 부과하지 않은 점을 지적하고 구체적인 근거를 제시하라고 요구했다.



이후 방통위는 서면답변을 통해 "해킹사건에 과징금부과처분을 내리기 위해서는 해킹의 결과뿐 아니라 해킹의 경로나 개인정보의 유출 경로까지 입증할 필요가 있고 법원도 소송에서 이러한 증거자료를 요구하고 있는 점을 고려했다"고 주장했다.



그러나 박 의원은 "해킹으로 개인정보가 유출된 사실 조사에서 필요한 것은 '유출을 차단하고 탐지할 수 있는 시스템 설치' 유무일 뿐, 방통위가 주장하는 것처럼 '유출 경로를 알 수 있는 접속기록'이 아니다"라고 재차 지적했다.



정보통신망법은 해킹으로 개인정보가 분실·도난·유출된 사실을 알았을 때에는 24시간 안에 신고하도록 규정하고 있다. 이와 별도로 동법 제28조제1항은 개인정보의 분실·도난·유출·위조 등을 방지하기 위한 기술적·관리적 조치를 취하도록 규정하고 있기 때문이다.



박 의원은 "방통위가 주장한 '해킹으로 부당하게 개인정보를 유출했다는 사실을 입증하기 위한 접속기록 확보' 등은 해커를 처벌하기 위해 경찰청에게 필요한 것"이라며 "침입차단·탐지 시스템 설치 유무를 따져야 하는 방통위의 역할이 아니다"고 꼬집었다.



이어 "해커에 의한 개인정보 유출이 발생하지 않아도 (사업자가) 침입차단·탐지 시스템을 설치하지 않았다면 법을 위반한 것"이라고 덧붙였다.



실제로 중앙전파관리소는 개인정보를 유출한 8개 사업자 모두 개인정보처리시스템에 불법적인 접근을 차단하기 위한 침입차단 및 침입탐지시스템을 설치·운영하지 않은 사실을 적발했다.



박 의원은 "방통위가 법 조항 적용과 해석을 왜곡하고 조사결과까지 부정하는 이유에 대해서는 감사원 감사를 통해 밝혀낼 수밖에 없다"며 "경찰이 이미 해킹과 개인정보 유출을 확인해 방통위에 통보한 것 자체가 '해킹에 의한 정보유출'은 입증이 된 것"이라고 주장했다.



또 "해커가 (여기어때 외) 다른 업체의 개인정보도 해킹했다는 사실을 올해 1월 경찰청 통보 이후에야 알았다는 방통위 주장을 그대로 인정한다고 해도,경찰청 통보 때까지 아무 조치도 하지 않고, '접속기록이 없어 과징금을 부과할 수 없다'고 주장하는 것은 방통위의 무능함 혹은 책임방기 외에는 설명할 방법이 없다"고 비판했다.