[소비자경제=차신애 기자] KT는 주민등록번호의 무분별한 남용과 이로 인한 개인정보유출을 방지하기 위해 방송통신위원회가 지정한 본인확인기관이다.

KT는 본인확인기관으로서 지난 2017~2021년 9월까지 23억 1600만 건의 본인확인서비스를 처리한 것으로 나타나 같은 기간 동안 926억 4000만 원의 수익을 거둔 것으로 추정된다.

한 소비자기관에 따르면 KT는 지난 2002년 민영화된 이후 지속적이고 반복적으로 막대한 양의 개인 정보유출로 인한 소비자 피해를 유발해 개인정보보호 관리에 있어 고질적이고 구조적인 문제점을 드러내고 있다고 밝혔다. 

또한 KT는 소비자 개인정보 유출과 관련해 지난해 11월에도 개인정보보호법상 안전조치의무 위반으로 개인정보보호위원회로부터 300만 원의 과태료 처분을 받았다. 그리고 KT의 계열사는 지난 4월에 같은 이유로 6억 8496억 원의 과징금과 2040만 원의 과태료 처분을 받았다.

KT는 지난 2002년 민영화된 이후, 2004년 주민등록번호를 포함한 92만 명의 개인정보를 유출한 바 있다. 또 2012년 이후 최근 10년 동안 2012·14·16년 3차례에 걸쳐 대량의 개인정보 유출로 최소 1854만 명 이상의 소비자 피해를 유발했다.

특히 지난 2014년에는 불과 2년 전인 2012년에 873만 명의 개인정보 유출로 인해 KT 사장의 공식 사과와 재발방지대책 발표가 있음에도 불구하고 다시 1170만 건이 넘는 개인정보가 유출되는 사고가 발생해 소비자들에게 커다란 충격을 줬다.

그리고 지난 2016년에는 KT의 위탁 업체의 직원들이 가입자 유치·상담, 실적보고 등 업무를 위해 유·무선 가입자의 주민등록증·가입신청서 등 개인정보를 SNS(네이버 밴드)에 노출해 온 것으로 밝혀져 국정감사에서 지적된 바 있다.

그러나 KT는 지난 2019~지난해 사이에도 해마다 협력·계열사의 내부 유출로 직원·소비자의 개인정보를 유출해 문제가 됐는데 특히 지난해 KT의 한 계열사는 개인정보 안전성 확보에 필요한 조치를 제대로 하지 않아 외부인의 해킹 공격을 정상적으로 탐지·차단 하지 못하고 총 1만 3393명의 개인정보를 유출했다.

KT는 반복되는 개인정보유출에도 손해배상을 한 적이 없다. KT는 개인정보 유출 피해를 입은 소비자들에 대한 구체적인 배상이나 피해 회복을 위한 계획은 발표하지 않았다.

지난해의 경우 KT가 정보보호 투자와 인력 현황 모두 타 통신사에 비해 상당한 격차로 우위를 차지한 것으로 나타나고 있다. 특히 정보보호부문 투자액은 1034억 7138만 원으로 다른 통신사의 2배가 넘고 정보보호부문 전담인력 (내부)도 240명 가량으로 다른 통신사의 5배가 넘는 것으로 나타났다.

그러나 이러한 KT의 정보보호 투자에도 불구하고 지난해 KT는 테스트 계정으로 로그인한 상태의 인터넷 주소를 고객들에게 안내문자로 발송해 해당 인터넷 주소로 접속한 고객 중 이벤트 제품을 구매한 고객의 개인정보를 해당 URL을 통해 접속한 다른 고객들에게 노출시켰다.

또 같은 해 KT의 한 계열사는 웹 방화벽 설정·개인정보처리시스템에 대한 접속 IP 주소 제한 등의 조치를 하지 않아 외부인의 해킹 공격을 정상적으로 탐지·차단하지 못하고 총 1만 3393명의 개인정보를 유출했다.

그리고 지금까지 알려진 바에 따르면, 개인정보 유출과 관련해 KT는 민사상 아무런 법률적 책임을 부담하지 않았다. KT는 지난 2012년 870만 명의 개인정보 유출과 관련해 피해자들의 손해배상청구에 대법원까지 계속된 지난한 소송을 통해 책임을 부인한 끝에 지난 2018년 12월 28일 개인정보 유출에 대한 민사상 손해배상책임을 면하게 된 바 있다.

그리고 지금까지 알려진 바에 따르면 최근 10년 사이 KT의 개인정보 유출과 관련해 KT 측은 민사상 아무런 법률적 책임을 부담하지 않았다. 다만 최근 10년간 관계당국으로부터 15억 7000만 원 이상 과징금 처분을 받았다.

법원은 비재산적 손해에 대한 위자료 액수는 법원이 사정을 참작해 직권 재량에 의해 확정할 수 있다고 판시하면서 개인정보 유출 사실만으로 손해배상청구 소송을 할 경우 5~10만 원대 소액의 위자료만을 인정하고 있다.

아울러 법원은 정보통신서비스 제공자(현행 개인정보처리자)가 개인정보의 기술·관리적 보호조치 기준(개인정보보호위원회 고시, 현행 개인정보의 안전성 확보 조치 기준)에서 정하고 있는 기술·관리적 보호조치를 다한 경우 개인정보의 안전성 확보에 필요한 보호조치를 취해야 할 법률상 또는 계약상 의무를 위반했다고 볼 수 없다는 법리를 통해 개인정보처리자의 유출 방지 책임에 대해 소극적으로 판단하고 있다.

소비자주권시민회의는 “KT는 향후 반복적으로 발생하는 개인정보 유출에 대한 내부의 고질적 이고 구조적인 문제점을 파악하고 적극적인 태도로 개인정보가 유출된 소비자의 피해가 회복될 수 있도록 노력해야 한다”며 “개인정보 보호를 위한 법률상 최소한의 조치를 하는데 그치는 것이 아니라 개인 정보보호를 위한 확고한 의지를 보여 본인확인기관으로서 사회와 소비자들의 신뢰를 되찾아야 할 것”이라고 밝혔다.