방송통신위원회 자료에 따르면, KT는 본인확인 기관으로서 2017년부터 2021년 9월까지 23억1600만건의 본인확인 서비스를 처리한 것으로 나타나, 같은 기간 동안 약 926억 4000만원의 이익을 거둔 것으로 추정된다.

KT는 주민등록번호의 무분별한 남용과 이로 인한 개인정보유출을 방지하기 위해 방송통신위원회가 지정한 본인확인 기관이다. 본인확인 기관으로서 KT는 주민등록번호 수집과 본인 식별을 위한 성명, 생년월일, 성별, 내·외국인, 휴대폰 번호와 중복가입 확인 정보, 연계 정보 등을 수집할 수 있다.

그러나 KT는 지난 2002년 민영화된 이후 지속적이고 반복적으로 막대한 양의 개인 정보 유출로 인한 소비자 피해를 유발해 개인정보보호 관리에서 고질적이고 구조적인 문제점을 드러내고 있다. 

또한 KT는 소비자 개인정보 유출과 관련해 2022년 11월에도 개인정보보호법상 안전조치 의무 위반으로 개인정보보호위원회로부터 300만원의 과태료 처분을 받았다. 그리고 KT의 계열사는 2023년 4월에 같은 이유로 6억8496억원의 과징금과 2040만원의 과태료 처분을 받았다.

최근 정보통신기술의 혁신과 함께 개인정보를 활용한 다양한 서비스의 이용자가 급증하면서, 개인정보의 중요성과 유출의 위험성이 함께 높아지고 있다. 따라서 이용자의 개인정보를 보호해야 하는 기업과 관리감독기관의 역할과 책임이 더욱 중요해지고 있다.

현재 개인정보의 처리와 보호에 관한 사안을 담당하는 정부 부처는 개인정보보호위원회이다. 개인정보보호위원회는 개인정보의 처리와 보호에 관한 사안을 독립적으로 관리·감독하기 위한 합의제 중앙행정기관이다. 특히, 지난 2020년 8월 5일 시행된 데이터 3법 개정에 따라, 행정안전부, 방송통신위원회, 금융위원회로 분산돼 있던 개인정보보호 감독 기능을 통합해 전담하고 있다.

소비자주권시민회의가 지난 2012년부터 2023년까지 반복적으로 발생한 KT에 의한 소비자의 개인정보 유출 현황과, 이에 대한 KT와 관리감독기관의 처리 결과를 조사했다. 
 
조사 결과 KT는 지난 2002년 민영화된 이후, 2004년 주민등록번호를 포함한 92만명의 개인정보를 유출한 바 있다. 또 2012년 이후 최근 10여년 동안 2012년, 2014년, 2016년 세 차례에 걸쳐 대량의 개인정보 유출로 최소 1854만여명 이상의 소비자 피해를 유발했다.

특히 지난 2014년에는, 불과 2년 전인 2012년에 약 873만명의 개인정보 유출로 인해 KT 사장의 공식 사과와 재발 방지 대책 발표가 있음에도 불구하고, 다시 1170만건이 넘는 개인정보가 유출되는 사고가 발생해 소비자들에게 커다란 충격을 줬다.

그리고 2016년에는 KT의 자회사 및 위탁 업체의 직원들이 가입자 유치·상담, 실적 보고 등 업무를 위해 유·무선 가입자의 주민등록증, 가입신청서 등 개인정보를 SNS(네이버 밴드)에 노출해 온 것으로 밝혀져, 국정감사에서 지적된 바 있다.

그러나 KT는 2019년부터 2022년 사이에도 해마다 협력사 및 계열사의 내부 유출로 직원 및 소비자의 개인정보를 유출해 문제가 됐는데, 특히 2022년 KT의 한 계열사는 개인정보 안전성 확보에 필요한 조치를 제대로 하지 않아, 외부인의 해킹 공격을 정상적으로 탐지· 차단 하지 못하고 총 1만3393명의 개인정보를 유출했다.

사실상 독과점에 가까운 통신 시장에서 대다수 국민은 이동통신3사의 서비스에 가입돼 있다. 전체 이동통신 서비스 가입자의 20%가 넘는 약 1830만 회선의 가입자를 보유한 KT의 개인정보보호 문제는 소비자의 정보 주권과 관련된 중요한 문제라고 볼 수 있다.

또한 KT는 본인확인 제도에 따라 지난 2012년 12월 28일에 본인확인 기관으로 지정된 이래, 개인의 주요 정보인 주민등록번호를 수집할 수 있다. 또한 온라인상에서 주민등록번호의 사용이 제한됨에 따라 다양한 서비스 이용자에 대해 주민등록번호가 아닌 대체 수단을 이용해 본인 여부를 확인해 주는 역할을 맡고 있다.

KT는 본인확인 기관 지정을 통해 해마다 증가하고 있는 본인확인 서비스의 처리 수익뿐만 아니라, 외부에 본인 확인을 요청할 때 소요되는 비용 측면에서도 공적인 특혜를 누리고 있다. 그런데 이러한 공적인 특혜를 누리면서, 개인의 주요 정보를 처리하는 본인확인기관인 KT가 정작 개인정보 유출 피해를 방지하지 못한다면, 그 책임은 가볍게 볼 수 없다.

KT는 고객의 개인정보 유출과 관련해 지난 2012년 개인고객 부문 사장이 공식으로 사과하고 재발 방지를 위한 5가지 개인정보보호 강화 대책을 발표했다. 그런데 불과 2년 뒤인 2014년 개인정보 유출 사고가 반복되자 회장이 다시 한번 공식 사과를 했다. 그러나 KT는 개인정보 유출 피해를 본 소비자들에 대한 구체적인 배상이나 피해 보상을 위한 계획은 발표하지 않았다.

다시 2년이 지난 2016년 국정감사에서 개인정보 유출 문제가 지적되었을 때, KT는 문제가 된 SNS 계정을 폐쇄하고 유출 정보를 모두 삭제 조치했다고 발표한 외에 아무런 공식적인 사과나 재발 방지 대책, 소비자 피해 복구를 위한 계획도 발표하지 않았다.

이동통신 3사는 과학기술정보통신부의 ‘정보보호 공시에 관한 고시’에 따라 매년 6월 30일까지 정보보호 현황을 제출해야 한다. 해당 고시에 따라 이동통신 3사가 6월 30일 공개한 2022년 정보보호 부문 투자 현황을 살펴보면, 2022년의 경우 KT가 정보보호 투자와 인력 현황 모두 타 통신사에 비해 상당한 격차로 우위를 차지한 것으로 나타나고 있다. 

특히, 정보보호 부문 투자액은 약 1034억7138만원으로 다른 통신사의 2배가 넘고, 정보보호 부문 전담 인력 (내부)도 약 240명가량으로 다른 통신사의 5배가 넘는 것으로 나타났다.

그러나 이러한 KT의 정보보호 투자에도 불구하고, 지난 2022년 KT는 테스트 계정으로 로그인한 상태의 인터넷 주소(URL)를 고객들에게 안내 문자로 발송해 해당 인터넷 주소로 접속한 고객 중 이벤트 제품을 구매한 고객의 개인정보를 해당 URL을 통해 접속한 다른 고객들에게 노출했다. 또한 같은 해 KT의 한 계열사는 웹 방화벽 설정, 개인정보 처리시스템에 대한 접속 IP 주소 제한 등의 조치를 하지 않아, 외부인의 해킹 공격을 정상적으로 탐지·차단하지 못하고 총 1만3393명의 개인정보를 유출했다.

지금까지 KT는 개인정보 유출과 관련해 공식적인 소비자 손해배상이나 피해의 회복을 위한 구체적인 계획을 발표한 바 없다. 또한 2014년 이후로는 더 이상 개인정보 유출에 대하여 본사 차원의 공식적인 사과 발표도 하지 않고 있다.

KT는 2012년 870만명의 개인정보 유출과 관련해 피해자들의 손해배상청구에 대법원까지 계속된 지난한 소송을 통해 책임을 부인한 끝에, 지난 2018년 12월 28일 개인정보 유출에 대한 민사상 손해배상책임을 면하게 된 바 있다. 그리고 지금까지 알려진 바에 따르면, 최근 10년 사이 KT의 개인정보 유출과 관련해 KT 측은 민사상 아무런 법률적 책임을 부담하지 않았다.

지난 2012년 개인정보 유출과 관련해 당시 관리감독기관이었던 방송통신 위원회는 7억5300만원의 과징금을 부과한 바 있다. 그러나 당시 회의록을 살펴보면, 과징금은 ‘개인정보 제3자제공시 제공 항목을 명확하게 표시하지 않음’을 이유로 한 것이고, ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제64조의3 제1항 제6호에 따른 과징금 부과는 차후 사법부 등의 인과관계에 대한 판단 결과에 따른다고 기록돼 있음을 알 수 있다. 그러나 이후에도 2012년 개인정보 유출과 관련해 KT에 다른 과징금이 부과된 사실은 확인할 수 없다.

지난 2014년 방송통신위원회가 KT에 7000만원의 과징금을 부과한 것은, 개인정보 유출과 관련해 기술적·관리적 보호조치가 미비하다는 이유로 대형 사업장에 최초로 과징금을 부과한 것이었다. 그러나 KT는 이러한 처분에 대해 개인정보 유출과 관련해 KT 측의 ‘중대한 위반행위’가 없다는 이유로 행정소송을 다툰 끝에, 지난 2021년 8월 19일 취소의 확정판결을 얻어낸 바 있다. 이에 2021년 11월 24일 개인정보보호위원회는 ‘일반 위반행위’를 이유로 5000만원의 과징금을 다시 처분했다.

지난 2016년 개인정보 유출의 경우, 2016년 9월 23일 변재일 의원실 보도 자료에 의해 익명의 제보 사실이 밝혀진 이후, 다양한 기사를 통해 널리 보도됐다. 2016년 10월 6일 미래창조과학방송통신위원회 국정감사에서 당시 방송통신위원장에게 질의까지 이루어진 사안이지만, 이후 아무런 후속 처분 사실이 알려진 바 없다.

개인정보 유출 사건에서 피해자인 소비자의 손해는 일상생활에서 광고성 전화를 빈번하게 받게 되는 불편함이나 유출된 개인정보가 범죄 등에 악용될 수 있다는 불안감 등 금전적으로 계산하기 어려운 비재산적 손해인 경우가 대부분이어서, 이를 금전적으로 계산하는 것은 어려운 일이다.

개인정보 유출로 인해 피해자가 입은 손해는 큰데도, 피해자가 그 손해액을 금전적으로 증명한다는 것은 어려운 일이다. 따라서 민사소송을 통해 피해자들이 충분히 손해배상을 받지 못하고 있다는 사회적 공감대 아래, 지난 2015년 개인정보 보호에 관련된 법률(개인정보보호법, 정보통신망법, 신용정보법)의 개정을 통해 법정손해배상제도와 징벌적 손해배상제도가 도입된 것은 긍정적인 제도 개선이다.

그러나 법원은 비재산적 손해에 대한 위자료 액수는 법원이 사정을 참작해 직권 재량에 의해 확정할 수 있다고 판시하면서, 개인정보 유출 사실만으로 손해배상청구 소송을 할 경우, 5~10만원대 소액의 위자료만을 인정하고 있다.

아울러 법원은 정보통신 서비스 제공자(현행 개인정보처리자)가 ‘개인정보의 기술적· 관리적 보호조치 기준’(개인정보보호위원회 고시, 현행 개인정보의 안전성 확보 조치 기준)에서 정하고 있는 기술적·관리적 보호조치를 다한 경우, 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 볼 수 없다는 법리를 통해, 개인정보처리자의 유출 방지 책임에 대해 소극적으로 판단하고 있다.

소비자주권시민회의는 위와 같은 조사 결과를 근거로 개인정보보호와 관련해 다음과 같은 개선 의견을 제안했다.

KT는 본인확인 기관으로서 공적 특혜를 받고 있음에도 지난 10년간 지속적· 반복적으로 약 2000만건이 넘는 대량의 개인정보 유출을 방지하지 못한 책임이 있다.

이러한 개인정보 유출로 인해 KT가 부담한 법률적 책임은 약 9000만원 상당의 행정상 과태료와 과징금뿐이다. 특히, KT는 개인정보 유출과 관련해 피해자에 대한 민사상 손해배상책임을 인정하지 않고 소송을 통해 다퉈왔다. 이에 따라 한번 유출됨으로써, 다시 회복될 수 없는 피해를 입은 소비자들의 고통은 계속 가중되고 있다.

그러나 KT는 재발 방지를 위한 대규모 정보보호 투자에도 불구하고, 지난 2022년 11월 다시 한번 개인정보 보호법상 안전조치 의무 위반으로 개인정보보호위원회로부터 300만원의 과태료 처분을 받은 사실이 있다.

따라서 KT는 향후 반복적으로 발생하는 개인정보 유출에 대한 내부의 고질적이고 구조적인 문제점을 파악하고, 적극적인 태도로 개인정보가 유출된 소비자의 피해가 회복될 수 있도록 노력해야 한다.

개인정보 보호를 위한 법률상 최소한의 조치를 하는 데 그치는 것이 아니라, 개인 정보보호를 위한 확고한 의지를 보여, 본인확인 기관으로서 사회와 소비자들의 신뢰를 되찾아야 할 것이다.

종래 법원은 개인정보 유출이 일어난 경우, 정보통신 서비스 제공자(현행 개인 정보처리자)가 방송통신위원회 고시에서 정하고 있는 기술적·관리적 보호조치를 다한 경우, 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상· 계약상 의무를 위반하지 않은 것으로 판단해 정보통신서비스 제공자의 책임을 소극적으로 인정하고 있다. 그리고 정보통신서비스 제공자의 책임을 인정하는 경우에도 법원은 5~10만원대의 소액 위자료만 인정하고 있다.

따라서 이러한 판례의 태도 아래 반복되고 있는 개인정보 유출로 인한 소비자의 피해를 방지하기 위해서, 개인정보보호위원회는 ‘개인정보의 안전성 확보 조치 기준’의 준수가 개인정보 유출 피해를 방지하는 데 현실적으로 도움이 될 수 있도록 기준을 고도화하고, 개인정보처리자가 개인정보 유출 피해자에 대해 현실적인 수준의 손해배상책임을 부담할 수 있도록 법률을 정비해야 할 것이다.

또한 법원도 개인정보 유출에 대한 종래의 소극적 태도에서 벗어나, 기업에 대한 사회·경제적 고려보다는 입법자의 입법 목적과 제도에 대한 사회적 공감대에 따라, 피해자의 피해가 현실적으로 구제될 수 있도록 적극적인 태도의 변화를 보여줄 것을 기대한다.

우먼컨슈머 = 임기준 기자