[단독]SK컴즈 3년전 적발되고도… 암호화 안해 무방비로 뚫려

방통위는 과태료 처분뿐
정부 합동조사 한번도 안해

SK커뮤니케이션즈가 2008년 이미 해킹에 무방비로 뚫려 있었던 것으로 29일 확인됐다. 이 회사는 회원들의 개인정보를 암호화하지 않은 채 PC에 저장하고 있다가 적발됐지만 방송통신위원회로부터 2000만 원의 과태료 처분만 받았다.

국회 문화체육관광방송통신위원회 소속 김을동 의원이 방송통신위원회에서 입수한 자료에 따르면 SK커뮤니케이션즈는 회원 개인정보를 고객관리 데이터베이스(DB)에서 출력해 복사할 때 일련번호, 자료 형태 등을 기록해 보호조치를 취해야 하지만 이를 이행하지 않았다. 특히 이런 정보를 개인정보 취급자의 PC에 암호화도 하지 않은 채 그대로 저장했다. 또 같은 해 1월부터 8월 말까지 회사의 개인정보 접근권을 가진 직원들이 퇴직한 뒤에도 개인정보처리시스템의 접근 권한(계정)을 말소하지 않아 이들의 접근이 가능하게 방치한 사실도 드러났다.

그러나 방통위는 이 회사가 최근 3500만 명의 사상 최대 개인정보 유출 사건을 당할 때까지 기업들에 대한 꾸준한 관리 감독을 하지 않았다. 김 의원에 따르면 행정안전부와 방통위, 금융위원회, 경찰청은 일부 업체의 개인정보 유출 사건이 발생한 뒤인 지난해 3월 “기업들의 개인정보 보유 실태에 대해 정부 합동조사를 실시하겠다”고 발표했음에도 지금까지 단 한 차례도 조사를 하지 않았다.

그 이유는 행안부와 달리 방통위가 “개인정보 유출 사건이 발생하거나 신고가 들어오기 전 특정 기업에 대한 사전 조사는 불가능하다”고 버텼기 때문이다. 정보통신망 이용촉진 및 정보보호에 관한 법률(정보통신망법)과 그 시행령에 따르면 ‘사건·사고 등이 발생하였거나 발생할 가능성이 있는 경우’ 정부가 조사할 수 있다. 이 조항을 놓고 행안부는 ‘발생 가능성’을 넓게 해석해 사전 조사가 가능하다고 해석한 반면 방통위는 ‘사건이 발생했거나 문제점이 신고된 경우’에만 조사할 수 있다고 맞선 것이다. 개인정보의 암호화도 허술한 것으로 나타났다. SK커뮤니케이션즈는 사건이 발생한 뒤 “각 개인정보에 대해 최고 수준의 암호화가 돼 있어 (유출됐더라도) 풀기 어렵다”고 설명했다.

김 의원은 이런 문제점을 감안해 사건이 발생했을 때뿐만 아니라 발생할 가능성이 있는 경우에도 정보통신서비스 제공자 등에 대한 정부 조사가 가능하도록 하고 방통위가 위법 사실을 적발하면 의무적으로 고발하도록 하는 내용의 정보통신망법 개정안을 발의할 예정이다.

최우열 기자 dnsp@donga.com