개인정보 유출 사고에 대한 정부의 처벌 수위가 대폭 강화되면서 통신업계 긴장감도 커지고 있다. 지난해 통신사를 겨냥한 해킹과 유심 정보 유출 논란이 이어진 가운데 정부가 징벌적 수준의 과징금 기준을 처음으로 구체화하면서다.

13일 개인정보보호위원회에 따르면 오는 9월부터 기업이 개인정보 유출 사고를 낼 경우 조건에 따라 전체 매출액의 최대 10%까지 과징금이 부과된다. 기존 상한 3%에서 대폭 강화된 수준이다.

적용 대상은 최근 3년간 고의 또는 중과실로 법 위반을 반복했거나, 피해 규모가 1000만명 이상인 대형 유출 사고 등이다. 정부의 시정명령을 이행하지 않은 상태에서 사고가 발생한 경우에도 징계 대상에 포함된다.

특히 경영진 책임 범위가 확대되면서 부담이 가중됐다. 기존에는 사고가 발생하면 개인정보보호를 총괄하는 개인정보보호책임자(CPO)에 한정했지만, 이제는 최고경영자(CEO)까지 책임을 묻는다. 유출 사고 범위도 해킹 공격으로 인한 개인정보 훼손 및 시스템 마비까지 범위에 포함됐다. 보안 사고가 경영 리스크로 확대될 가능성이 더 높아진 셈이다.

통신업체들은 국민 대부분의 실명 기반 개인정보와 인증 체계를 보유하고 있다. 국내 이동통신 회선 수는 약 5700만개로 인구 수를 웃도는 수준이다. 특히 최악의 경우 해커가 심 스와핑(SIM Swapping) 수법으로 가입자 식별번호(IMSI)와 유심(USIM) 인증키를 복제하면 비대면 대출이나 금융 계정 탈취 등으로 이어질 수 있어 타 업종보다 파급력이 크다. SK텔레콤이 지난해 4월 가입자 2700만여명의 유심정보가 유출된 해킹 사고가 발생한 직후 곧바로 유심 무상 교체를 발표한 이유다.

전국에 설치된 수십만대의 소형 기지국(펨토셀)도 보안 위험 요소다. 통신3사가 현재 음성·데이터 품질 개선 등을 위해 별도로 설치해 놓은 펨토셀은 약 26만대로 알려졌다. 지난해 10월 해커가 인증서 등을 복제해 펨토셀을 가짜 기지국처럼 만들고 KT 가입자를 대상으로 무단 소액 결제를 시도한 사건이 발생했는데, 이로 인해 약 2억4000만원 가량의 금전 피해가 발생했다.

통신3사는 보안 사고 대응을 위해 체계 재정비에 나선 상황이다. KT는 올해 보안 조직을 정보보안실로 통합하고, 최고경영진이 직접 보안 리스크를 관리하는 체계로 개편했다. SK텔레콤도 최고보안책임자(CISO)를 최고경영자 직속 개편했다. LG유플러스는 화이트해커 등 보안 전문팀을 꾸려 대응한다.

보안 투자 규모도 대폭 늘렸다. 지난해 통신3사의 정보보호 투자 규모는 약 2700억원 수준에서 올해 4800억원으로 약 76% 증가했다.

다만 일각에서는 랜섬웨어 등 신종 해킹 공격이 고도화되는 만큼 기업 차원의 대응만으로는 한계가 있다는 분석도 나온다. 해킹 수법이 인공지능(AI) 등을 활용해 갈수록 고도화하는데, 이를 기업 차원에만 책임을 지우는 것은 사후징벌적인 책임전가만 될 뿐이라는 우려에서다.

업계의 한 관계자는 "최근 해킹이 서버 침입 수준에서 금융 피해까지 공격 범위가 확대되고 있어 기업 자체 대응만으로는 한계가 있다"며 "정부와 보안 업계의 공조가 중요해진 시점"이라고 했다.