개인정보보호위원회의 제재가 임박하면서 SK텔레콤의 과징금 규모에 업계 이목이 쏠리고 있다. 일각에서는 사상 최대 규모 과징금이 거론돼 SK텔레콤 내부 긴장감도 높아진다. 특히 이번 조치가 기업 보안 강화와 제도 개편의 신호탄이 될 수 있어 다른 기업들도 촉각을 곤두세우고 있다.
8일 업계에 따르면 개인정보보호위원회는 SK텔레콤에 조사보고서를 토대로 작성한 사전처분통지서를 전달했다. 통지서에는 위법 사실별 적용 법 조항과 과징금·과태료 부과 여부가 담겨 있다. SK텔레콤은 약 2주 간 의견 제출 기간 동안 소명 절차를 진행하게 된다.
SK텔레콤 처분안은 8월 27일로 예정된 전체회의에 상정될 가능성이 높다. 다만 SK텔레콤의 소명 일정이 늦어질 경우, 결정 시점은 미뤄질 수도 있어 보인다. 고학수 위원장은 "조사는 정상적으로 진행되고 있으나, 발표 시점은 상황을 지켜봐야 한다"고 말했다.
업계는 SK텔레콤에 부과될 과징금을 1100억~1200억원 수준으로 추정한다. 이는 개인정보보호위원회가 지금까지 부과한 과징금 가운데 역대 최대 규모다. 앞서 개인정보보호법 위반으로 가장 큰 과징금이 부과된 사례는 지난해 카카오의 151억원이다.
앞서 고학수 위원장은 6일 SK텔레콤 해킹 사태와 관련해 "국민적 관심도가 높아 신경 써서 보고 있다"며 "법과 원칙에 따라 엄정하게 처분하겠다"고 밝혔다. 그는 이어 "가중 사유 및 경감 사유 등 기준 적용은 전체회의를 통해 결정하겠다"고 말했다.
일각에서는 위반 항목별 최대한도 기준을 적용할 경우 SK텔레콤에 5000억원에 달하는 과징금이 내려질 수 있다는 관측도 내놨다. 그러나 SK텔레콤이 피해 보상안과 정보보호 투자 계획 등을 제시하면서 실제 부과액은 낮아질 것으로 예상된다. 개인정보보호법 시행령에 따르면 과징금은 전체 매출액에서 위반행위와 무관한 매출을 제외한 금액을 기준으로 산정된다.
개인정보보호위원회는 이번 사태를 계기로 재발 방지 대책도 병행도 추진한다. 올해 5월 발표한 ‘개인정보 안전관리 체계 강화 방안’에는 종합 안전관리 대책 수립, CPO 중심의 전사 통제 강화, 피해 구제 체계 정비 등 3대 과제가 포함됐다.
과제는 구체적으로 CPO 외 최소 1명의 개인정보 전담 인력을 배치하고, 전체 IT 인력의 10% 이상을 개인정보 보호 업무에 투입해야 한다. 정보보호 예산 비율도 현행 IT 예산의 6%에서 2027년까지 10%, 2030년까지 15% 수준으로 확대한다. 개인정보에 자율적으로 암호화를 적용한 기업에는 유출 사고 시 과징금 감경 등 인센티브도 제공한다.
이외에도 개인정보 기술 분석 전담 센터 신설, 피해 회복과 과징금 감면 연계, 기업의 자발적 피해 구제 유도 등의 방안이 포함됐다.
개인정보보호위원회 관계자는 "SK텔레콤 처분 발표와 함께 재발 방지 대책도 제시할 계획이다"라며 "동시 발표 또는 시차 발표 여부는 조율하고 있다"고 밝혔다. 그는 이어 "5월에 제시한 방안은 기본 방향일 뿐 세부 기준은 업계·전문가·시민단체 의견을 수렴해 조정하고 있다"고 말했다.
한편 예스24 랜섬웨어 사고와 관련해 개인정보보호위원회 조사 결과는 SK텔레콤 건이 마무리된 이후 발표된다. 이에 따라 SK텔레콤 제재 수위가 향후 개인정보 보호 정책의 분기점이 될 것이라는 관측이 나온다.
홍주연 기자
jyhong@chosunbiz.com