92만명 정보 빼돌린 KTF에 ‘정보보호상’ 수여
지난 22일 오전 10시, 서울 을지로 1가 은행회관 2층. ‘2004년 정보보호대상’ 시상식이 열렸다. 김창곤 정보통신부 차관을 비롯해, 정보통신부의 정보보호정책 담당자, 한국정보보호진흥원 간부, 수상기관 대표와 직원 등이 대거 참석했다.
상을 받을 정보보호 우수기관들의 이름이 불려질 때마다 박수가 터졌다. 한국인터넷데이터센터(대상), 케이티에프(KTF), 광주과학기술원, 신한은행, 한국암웨이(이상 우수상), 호성케멕스, 성균관대, 명지전문대, 에이쓰리시큐리티컨설팅, 윈스테크넷(이상 특별상)이 상을 받았다.
정보보호 우수상에 ’고객정보 92만건 빼돌린 KTF’…“정통부는 코미디 부처?”
정보보호 대상은, 연 말에 쏟아지는 대다수 상이 언론사나 협회 주최로 시상되는 것과 달리, 정보통신부와 정보보호실천협의회가 주최한다. 정부가 주는 상이라는 얘기다. 정통부는 이번에 상을 받은 정보보호 우수기관의 정보보호 실천활동과 현장경험을 우수사례집으로 발간해 배포할 예정이다.
하지만 이 날 수상기관 중에는 상을 받기에 적절하지 않은 곳이 포함돼, 뒷말을 낳고 있다. 케이티에프다.
케이티에프는 지난 10월 경찰 조사에서 가입자 92만명의 개인정보를 유출한 것으로 드러났다. 마케팅 부서의 과장급 직원이 사무실 피시를 통해 고객 개인정보를 빼낸 것으로 밝혀졌다. 검찰은 최근 이 업체를 약식 기소했다.
케이티에프는 지난 2002년에는 가입자 수만명을 몰래 부가서비스(매직엔)에 가입시켜 요금을 받아온 게 드러나, 개인정보 침해 혐의로 검찰에 고발당해 벌금 1천만원을 물었다. 당시 케이티에프는 휴대전화에 가입할 때 제공한 개인정보를 이용해 고객을 본인 동의도 받지 않은 채 부가서비스에 가입시켜 요금을 받은 것으로 밝혀졌다.
형사 처벌은 끝났다. 하지만 민사소송은 아직도 진행중이다. 당시 피해자 100여명이 개인정보 침해에 따른 손해배상을 요구하는 소송을 법원에 제기해, 현재 재판이 진행중이다.
당시 케이티에프는 “혹시 자신도 모르게 가입돼 요금을 물고 있는 가입자가 더 있을지 모르니 요금고지서와 홈페이지를 통해 고지해 달라”는 참여연대의 요구를 회사 이미지를 들어 묵살했다.
피해를 당한 케이티에프 가입자의 조정 신청 건에 대해 “케이티에프는 개인정보 침해에 따른 손해배상으로 50만원을 보상하라”고 한 개인정보분쟁조정위원회의 결정도 “보상금 받아내기 위해 부가서비스 가입신청을 하고도 안했다고 우기는 가입자가 있을 수 있다”며 거부했다.
소비자쪽에서 볼 때, 통신업체에게 가장 중요한 정보가 가입자 개인정보다. 그런데 케이티에프는 고객 개인정보를 부당하게 이용하고, 유출까지 했다. 그 때마다 수십만명의 가입자가 개인정보 침해를 당하는 피해를 당했다.
현행 정보통신망 이용촉진 및 정보보호 등에 관한 법은, 기업이 고객의 개인정보를 수집 및 이용하거나 수집한 고객의 개인정보를 제3자에게 제공할 때는 반드시 사전에 동의를 받게 하고 있다. 동의를 받지 않으면 개인정보 침해에 해당돼 형사처벌과 민사소송 대상이 된다.
통신서비스 가입자가 가입 때 제공한 개인정보 역시 통신요금을 계산해 청구하거나 통화내역 조회 요구 때의 본인 확인, 고객에게 현재 이용중인 통신서비스와 관련해 꼭 필요한 내용을 알리는 용도로만 쓸 수 있다. 고객 개인정보가 케이티에프 담장을 넘어 밖으로 나가서도 안된다.
KTF, 92명 정보유출 이미 형사처벌…민사소송도 진행중
그러나 케이티에프는 고객 개인정보를 부가서비스 마케팅에 활용했다. 또 92만명 것을 담장 밖으로 갖고 나갔다. 그래서 민사소송이 진행중인데 이어, 올해 추가로 형사처벌까지 받았다.
통상적으로 수상자를 정할 때, 상의 주제와 관련해 사회적으로 큰 파장을 일으켰거나 형사처벌이나 소송이 진행중인 곳은 응모하지 않거나 심사 과정에서 제외되는 게 일반적이다. 하지만 케이티에프는 정보보호 대상에 응모했고, 수상자로 선정됐다.
이 때문에 “고객 개인정보를 잘못 관리해 형사처벌에 이어 집단소송까지 받고 있는 업체가 어떻게 수상업체로 선정됐는지 모르겠다”는 뒷말이 돌고 있다.
잘못됐다는 지적은 케이티에프 내부에서도 나온다. 케이티에프 관계자는 “92만명 개인정보 유출 건을 기억하는 쪽에서 문제제기를 할 것 같아, 회사 차원에서는 언론에 알리지 않았다”고 말했다.
KTF “개인정보 유출때문에 수상사실 언론에 알리지는 않아”
정통부와 정보보호진흥원도 심사과정에서 민사소송이 진행중이고, 개인정보를 유출한 것을 스크린하지 못한 것은 잘못이라고 인정했다. 그러나 “정해진 기준에서는 심사가 제대로 이뤄졌고, 따라서 케이티에프의 상을 취소할 수는 없다”고 못박았다.
정통부 김기권 정보보호정책과장은 “정보보호대상은 네트워크의 보안상태로 수상자를 뽑는다”며 “해킹이나 바이러스 등 네트워크를 통한 침투에 얼마나 잘 대비를 하고 있느냐가 큰 점수를 차지한다”고 말했다. 그는 “올해는 39개 기업과 대학이 응모해, 서류심사 및 현장심사, 바이러스 침투 심사를 거쳐 수상자를 뽑았다”고 밝혔다.
하지만 전문가들은 정보관리 책임자와 직원들의 정보보호 의식, 정보관리체제 등이 엉망인 상태에서의 네트워크 보안은 아무런 의미가 없다며, 상의 심사기준이 잘못됐다고 지적했다. 안에 정보 도둑이 득실거리고, 뒷문이 열려있는데, 앞에 높은 방화벽을 쌓아봤자 무슨 소용이 있느냐는 것이다.
정통부 “정보보호대상은 네트워크 보안상태로 수상 결정”
실제로 케이티에프의 경우, 외부에서 해킹을 통해 고객 개인정보를 빼낸 게 아니라, 내부 직원이 고객 개인정보를 갖고 나갔다. 업계의 한 전문가는 “가입자가 1천만명이 넘는 통신업체의 고객 개인정보관리시스템이, 마케팅 직원이 부서 컴퓨터로 고객 92만명의 개인정보를 파일로 만들 수 있을 정도로 허술하게 운영될 수 있느냐”고 의문을 제기했다.
지금이라도 정부가 상의 권위를 유지하고, 국민들을 헷갈리게 하지 않으려면, 상의 이름을 ‘네트워크 보안대상’ 정도로 바꿔야 하지 않을까 싶다. 정보보호대상이란 이름을 계속 쓰려면, 적어도 케이티에프를 수상자에서 빼는 조처는 필요해 보인다.
이 상이 현재 진행중인 재판과, 앞으로 또 일어날지도 모르는 개인정보 침해 사건 때 정상 참작 요인으로 이용되지 않을까 우려되기 때문이다.
<한겨레> 김재섭 정보통신전문기자
[email protected]
