해킹 관련 제재에 긴장하는 기업들… 두나무·KT 제재 수위는?
‘445억원 해킹’ 두나무, 금융당국 제재 임박
개인정보유출 KT, 이달 중 과징금 결정 전망
두나무가 운영 중인 가상자산거래소 업비트. 부산일보DB
KT 관계자가 지난해 9월 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다. 연합뉴스
정부의 국내기업 해킹 사건 관련 제재 절차가 본격화되면서 배상, 과징금 부과 등 제재 수위에 관심이 쏠린다. 업비트 운영사 두나무는 금융감독원 제재를 앞두고 있고 KT는 개인정보보호위원회의 과징금 부과가 임박했다.
19일 금융권과 금융당국에 따르면 금감원은 지난해 445억 원 규모의 해킹 사고와 관련해 최근 두나무에 검사의견서를 송부했다. 검사의견서란 금감원이 현장조사 등을 통해 확인한 사실관계, 위반 의심행위 등을 정리한 문서다.
국내 1위 가상자산 거래소 업비트는 지난해 11월 27일 해킹 사건이 발생해 솔라나 네트워크 계열 자산 약 1000억개 코인(445억 원 상당)이 외부 지갑으로 유출됐다. 해킹은 오전 4시 42분부터 오전 5시 36분까지 약 54분간 이뤄졌는데, 회사는 당일 네이버파이낸셜과 합병 행사 종료 이후에야 해킹 사실을 알려 ‘늑장 공지’ 비판이 제기됐다.
두나무는 피해 자산 445억 원 중 26억 원은 자금을 동결해 회수 절차를 진행했으며, 회원 피해 자산 386억 원은 업비트 자산으로 전액 보전했다. 금감원은 사고 이후 가상자산이용자보호법 위반 여부 등을 살펴왔으며 검사 착수 7개월 만에 검사의견서를 송부했다.
두나무에 대해선 규제 사각지대 문제가 지적된다. 현행법상 가상자산사업자의 해킹 사고와 관련해 제재나 배상을 물릴 수 있는 직접 조항이 없다. 이찬진 금감원장도 지난해 “제재 (권한) 부분에 상대적으로 한계가 있다”면서 “그냥 넘어갈 성격의 것은 아니다”라고 말했다. 금감원은 소명 절차를 거쳐 제재 수위를 담은 제재의견서를 회사에 사전 통지할 예정이다. 이후 제재심의위원회, 증권선물위원회, 금융위원회 의결을 거쳐 최종 제재를 확정한다.
지난해 2만 2000여 명의 개인정보가 유출되고 일부 이용자가 소액결제 피해를 본 KT도 이르면 이번 달 제재 수위가 결정될 전망이다. 업계에 따르면 개인정보보호위원회는 오는 29일 전체 회의를 열고 KT에 대한 과징금 부과 등 제재안을 심의·의결할 예정이다. 앞서 개인정보위는 지난 5월 KT에 대한 조사를 마무리하고 처분 사전통지서를 발송했다.
KT는 지난해 9월 불법 소형 기지국(펨토셀)을 통해 고객 2만 2227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호 등이 유출되는 사고를 겪었다. 이후 유출 고객 중 368명이 총 777건, 약 2억 4300만 원 규모의 무단 소액결제 피해를 본 것으로 집계됐다.
현행 개인정보보호법상 개인정보위는 위반 행위와 관련된 매출액의 최대 3%까지 과징금을 부과할 수 있다. KT의 최근 3년 무선서비스 매출은 연평균 약 6조 6689억 원으로, 법정 최대치를 단순 계산하면 과징금 규모는 약 2000억 원에 달한다. 다만 실제 과징금은 위반 행위와 관련된 매출 범위와 감경·가중 사유 등을 종합적으로 고려해 산정된다.
앞서 SK텔레콤 역시 지난해 해킹 사고 당시 수천억 원대 과징금이 예상됐으나 감경 사유 등이 참작돼 최종 1348억 원을 부과받은 바 있다. 역대 최대 과징금 기록은 개인정보 3756만명이 유출된 쿠팡에 부과된 6247억 원이다.
김종우 기자 kjongwoo@busan.com