“법인 회선은 개인정보가 아니다” — 개인정보보호위원회가 이 원칙을 적용하면서 KT 펨토셀 유출 사건의 피해 규모가 2만2000여명에서 1만6000명 수준으로 28% 줄었어요.
16일 업계에 따르면 개인정보보호위원회는 다음달 전체회의를 열고 KT 펨토셀 침해사고에 대한 최종 제재 수위를 결정할 예정이다. KT는 지난달 처분 사전통지서를 받고 소명자료 제출을 마친 상태인데, 본지 취재 결과 사전통지서에 적시된 개인정보 유출 규모는 약 1만6000명으로 파악됐다. 지난해 과기정통부 민관합동조사단이 2만2227명으로 발표했던 수치에서 6000명 이상 줄어든 셈이에요.
유출 규모가 대폭 축소된 이유는 법인 회선과 중복 회선이 제외됐기 때문이다. 현행 개인정보보호법은 보호 대상을 ‘살아있는 개인’으로 엄격히 한정하고 있어요. 펨토셀 접속 이력이 있는 단말 중 사물인터넷(IoT) 기기나 회사 명의로 개통된 법인용 회선은 법률상 개인정보에 해당하지 않아 개보위 제재 대상에서 빠졌죠. 일종의 회계 감사에서 ‘개인’과 ‘법인’ 계정을 분리하는 것과 비슷한 작업이 이뤄진 거예요.
현행법상 과징금은 관련 매출액에 위반행위의 중대성에 따른 부과기준율(최대 3%)을 곱해 산정한다. 법조계에서는 피해 규모가 줄어든 만큼 위법성의 경중을 판단하는 데 상당한 변수가 될 것으로 보고 있어요. 특히 이번 침해사고가 메인서버 해킹이 아닌 통신장비(펨토셀)의 취약점을 파고든 국지적 사고라는 점, 그리고 펨토셀 접속 이력이 있는 가입자 모수를 별도 산출할 경우 관련 매출 기준액 자체가 크게 줄어들 수 있다는 점이 KT 측에 유리하게 작용할 전망이에요.
더 큰 변수는 과거 사례와의 비교다. 수천만 명 규모의 데이터 유출이 확인된 쿠팡(과징금 약 6000억원)이나 SK텔레콤 사례와 비교하면 비례성 원칙 측면에서 높은 기준율을 부과하기 어렵다는 게 법조계의 중론이에요. 중대성 판단은 안전성 확보 조치 이행 노력뿐 아니라 위반행위로 인한 정보주체의 피해 규모와 범위, 피해 구제 노력 등을 종합적으로 고려해야 하기 때문이죠. KT도 사고 직후 피해자 대상 개별 통지와 함께 1인당 최대 30만원의 보상금 지급 절차를 진행 중이에요.
다만 쿠팡 사건으로 개인정보 유출 기업에 대한 금전적 징벌 기조가 이미 확인된 터라, 규제 당국도 제재 수위 결정에 상당히 신중한 접근을 할 것으로 보여요. KT 사태가 국내 통신사에 대한 첫 대규모 개인정보 제재 사례가 될 가능성이 큰 만큼, 국내 기업과 해외 기업 간 형평성 문제로 비화할 여지도 배제할 수 없거든요. 피해자 입장에서는 법인 회선이 빠졌다고 해서 사건의 심각성이 달라지는 건 아니라는 점도 무시할 수 없는 지점이에요.
KT로서는 피해 규모 축소가 분명한 호재지만, 다음달 전체회의 결과가 나오기 전까지 안심하긴 이르다는 분위기예요. 통신 3사 중 처음으로 개인정보 유출로 개보위 제재를 받는 사례라 더욱 주목되는 지점이에요. KT는 사고 직후 자체 보안 강화 대책을 수립해 개보위에 보고한 상태다. 개인정보보호법 위반에 따른 과징금뿐 아니라 과기정통부의 별도 행정처분 가능성도 남아 있어, 통신업계로서는 이번 결정이 향후 유사 사고의 기준점이 될 거란 전망이 나와요. 개인정보보호 규제의 칼날이 어느 쪽으로 기울지, 통신업계 전체가 예의주시하는 모양새네요.
- 원문: 전자신문 — KT 개인정보 유출 규모 1만6000명으로 줄어…과징금 수위 변수로
- 작성: sw4u 9시뉴스 안나영 / 2026-06-16 21:00