29일 박선숙 의원에 따르면, 지난해 3월 숙박앱 ‘여기어때’를 해킹해 97만명의 개인정보를 유출했던 해커가 당시에 다른 인터넷 사이트도 해킹해 8개 업체의 개인정보 290만건이 유출된 것으로 조사됐다.
8개 업체 290만건은 이용자 기준으로, 여행사 4곳, 보험, 자동차용품, 경마정보, 쇼핑몰 솔류션 등 각기 성격이 다른 사이트이므로 정보의 중복 건수는 제한적일 것으로 추정된다.
유출된 정보는 아이디, 이름, 생년월일, 성별, 이메일, 휴대전화번호는 물론이고, 주소, 회사주소, 여권번호, 그리고 일부 업체에서는 주민등록번호와 은행명, 계좌번호까지 유출된 것으로 확인됐다.
방통위는 주민등록번호와 은행계좌 정보까지 유출된 사실을 확인하고도 ‘접속기록이 없다’는 이유로 최소 52억원(‘여기어때’ 과징금 부과 기준)에서 최대 131억원(법정 최대 부과 기준)에 해당되는 과징금을 전혀 부과하지 않고 단지 과태료 2억원만 부과했다.
박선숙 의원은 지난 11일 국정감사에서 ‘접속기록이 없다’는 이유로 과징금을 부과하지 않은 점을 지적하고 구체적인 근거를 제시하라고 요구한 바 있다.
이후 방통위는 서면답변을 통해 ‘개인정보가 유출됐다는 사실만으로는 과징금을 부과할 수 없으며’, 이번 사건처럼 ‘해킹에 의한 개인정보 유출’은 대법원 판례 등을 근거로 ‘해킹 사실을 입증하는 해킹의 경로나 개인정보 유출경로를 알 수 있는 접속기록’이 있어야 한다고 주장했다.
방통위는 7월 11일 처분당시에도 개인정보를 유출한 8개사에 대해서는 ‘개인정보 유출 원인과 경로를 파악할 수 있는 접속기록과 로그기록이 존재하지 않아 유출경로와 시기를 명확히 알 수 없는 점’을 이유로 과징금을 부과하지 않겠다는 의견을 제시한 바 있다.
박 의원은 "해킹으로 개인정보가 유출된 사실 조사에서 필요한 것은 ‘유출을 차단하고 탐지할 수 있는 시스템 설치 유무일 뿐, 방통위가 주장하는 것처럼 ‘유출 경로를 알 수 있는 접속기록’이 아니다"고 강조한 뒤 "방통위가 주장한 ‘해킹으로 부당하게 개인정보를 유출했다는 사실을 입증하기 위한 접속기록 확보’ 등은 해커를 처벌하기 위해 경찰청에게 필요한 것이지, 침입차단·탐지 시스템 설치 유무를 따져야 하는 방통위의 역할이 아니다"며, "해커에 의한 개인정보 유출이 발생하지 않아도 침입차단·탐지 시스템을 설치하지 않았다면 법을 위반한 것"이라고 말했다.
박 의원은 "조사를 담당한 중앙전파관리소는 개인정보를 유출한 8개 사업자 모두 개인정보처리시스템에 불법적인 접근을 차단하기 위한 침입차단 및 침입탐지시스템을 설치·운영하지 않은 사실을 적발했다"며 "방통위는 각 업체 개별 조사 결과 보고서는 8개 업체가 ‘침입차단·탐지 기능 시스템을 설치하지 않아 법 제28조제1항제2호를 위반’한 사실을 분명하게 지적하고 있는 상황에서도, 해킹의 경로를 알 수 없어 과징금을 부과하지 않았다는 주장을 거듭 하고 있다"고 성토했다.
박 의원은 법 제28조제1항제2호 ‘개인정보에 대한 불법적인 접근을 차단하기 위한 침입차단시스템 등 접근 통제장치의 설치·운영’은 해킹 경로나 접속기록 보관 여부와 무관한 별도의 조항임에도 불구하고, 방통위가 법 조항 적용과 해석을 왜곡하고 조사결과까지 부정하는 이유에 대해서는 감사원 감사를 통해 밝혀낼 수밖에 없다는 입장이다.
한편 접속기록이 없는 이유에 대해 방통위는 ‘경찰청이 개인정보 유출 사실을 통보한 시점이 해커가 검거된 지 6개월이 경과된 2018년 1월'이고, 방통위가 조사에 착수한 2월 22일에는 고시에서 정한 ‘접속기록 최소 보존·관리기간’인 6개월이 이미 지나서 ‘해킹에 의한 정보유출’을 입증할 ‘접속기록’이 없어 과징금을 부과할 수 없었다고 해명한 바 있다.
박 의원은 "경찰이 이미 해킹과 개인정보 유출을 확인해 방통위에 통보한 것 자체가 ‘해킹에 의한 정보유출’은 입증이 된 것이라는 기초적인 사실은 별건으로 하더라도, 해킹에 의한 개인정보 유출 조사와 해커의 검거 등에 방통위 자신이 관여했다는 점을 고려할 때, 방통위의 주장은 책임회피는 물론이고 직무를 유기했다는 지적을 피할 수 없다"고 강조했다.
이어 "아무리 방통위가 해킹 조사나 해커 검거에 참여하지 않았다고 해도, ‘여기어때’외에도 인터넷 사이트에서 개인정보가 다수 유출된 사실은 지난해 6월 1일 경찰발표 내용에서 충분히 알 수 있었다"며 "그런데도 올해 1월 경찰청 통보 때까지 아무 조치도 하지 않고, ‘접속기록이 없어 과징금을 부과할 수 없다’고 주장하는 것은 방통위의 무능함 혹은 책임방기 외에는 설명할 방법이 없다"고 말했다.
이경호 기자 news@seconomy.kr
