KT "모든 해킹사고 100% 예방 못해... 미흡은 인정하지만 행정처분 대상은 아냐"
980만건의 개인정보를 유출한 KT가 방송통신위원회 제재에 앞서 행정처분 대상이 아니라고 주장했다. KT는 개인정보 유출과 기술·관리적 조치는 직접적인 인과관계가 없다는 입장을 밝혔다.
19일 방통위는 전체회의를 열고 KT개인정보 유출에 따른 법률 위반 관련 행정처분 결정을 연기하면서 추후 과징금, 과태료 제재를 내리겠다고 밝혔다.
방통위 사무국에 따르면 KT의 마이올레 홈페이지는 해커가 고객서비스 계약번호를 입력해도 본인을 확인하는 인증 단계가 없고, 특정인이 1일 최대 34만건이 넘도록 개인정보를 조회해도 탐지하지 못하는 등의 문제점이 발견됐다.
이에 KT측 김진한 변호사는 “모든 해킹 사고를 100%예방할 수 없다”며 “기술적 관점에서 취약점이 있었으나 합리적인 노력도 있었으니 이를 고려해야 한다”고 말했다. 이어 “올레 웹사이트 요금 명세서 조회를 위한 고객서비스 입력하는데 있어서 추가 인증이 미비한 것에 대한 고시 규정은 존재하지 않는다”며 “사업자의 입장에서도 어떤 조치를 취해야 하는지 세부 조항이 없다”고 주장했다.
이와 관련 정현철 한국인터넷진흥원 센터장도 “동일 IP로 초당 4000건의 트래픽이 발생했으나 하루에 가장 많이 들어오는 트래픽을 관리하는 IP 관제 정책이 있었다면 이를 충분히 막을 수 있었다”고 말했다.
이에 방통위는 KT가 위반 사실을 인정하고 있지만 행정처분을 위해서는 기술적 조치 미흡에 대한 인과관계를 인정해야 한다며 추후 제재하기로 결정했다.
19일 방통위는 전체회의를 열고 KT개인정보 유출에 따른 법률 위반 관련 행정처분 결정을 연기하면서 추후 과징금, 과태료 제재를 내리겠다고 밝혔다.
방통위 사무국에 따르면 KT의 마이올레 홈페이지는 해커가 고객서비스 계약번호를 입력해도 본인을 확인하는 인증 단계가 없고, 특정인이 1일 최대 34만건이 넘도록 개인정보를 조회해도 탐지하지 못하는 등의 문제점이 발견됐다.
이에 KT측 김진한 변호사는 “모든 해킹 사고를 100%예방할 수 없다”며 “기술적 관점에서 취약점이 있었으나 합리적인 노력도 있었으니 이를 고려해야 한다”고 말했다. 이어 “올레 웹사이트 요금 명세서 조회를 위한 고객서비스 입력하는데 있어서 추가 인증이 미비한 것에 대한 고시 규정은 존재하지 않는다”며 “사업자의 입장에서도 어떤 조치를 취해야 하는지 세부 조항이 없다”고 주장했다.
이와 관련 정현철 한국인터넷진흥원 센터장도 “동일 IP로 초당 4000건의 트래픽이 발생했으나 하루에 가장 많이 들어오는 트래픽을 관리하는 IP 관제 정책이 있었다면 이를 충분히 막을 수 있었다”고 말했다.
이에 방통위는 KT가 위반 사실을 인정하고 있지만 행정처분을 위해서는 기술적 조치 미흡에 대한 인과관계를 인정해야 한다며 추후 제재하기로 결정했다.
