개인정보위, KT·LGU+ 개인정보 유출 의혹 본격 조사 착수

개인정보보호위원회(위원장 고학수)는 2025년 9월 10일, 통신사 KT와 LGU+를 대상으로 개인정보 유출 의혹과 관련한 공식 조사를 시작한다고 밝혔다. 이는 최근 무단 소액결제 피해 사례가 증가하고, 미국 보안 전문지 보도를 통해 해킹 정황이 제기된 데 따른 조치로, 개인정보 보호법 제63조에 따른 자료 요구 및 현장 조사를 통해 사실관계를 규명할 예정이다.

이번 조사는 정보통신 3사 중 KT와 LGU+를 특정 대상으로 하여 이루어진다는 점에서 이례적이다. 최근 KT 이용자를 중심으로 한 무단 소액결제 피해 사례가 다수 보고되었고, 이러한 사례를 기반으로 개인정보 유출 가능성에 대한 시민사회의 우려가 증폭돼 왔다. 특히 미국 보안 전문지 「Phrack」에서 KT와 LGU+에 대한 해킹 정황이 포함된 분석을 공개하면서, 사안의 심각성은 공론화 단계로 진입했다.

개인정보보호위원회는 이번 사안을 언론보도를 통해 인지한 이후, 관련 기업들로부터 자료를 요구하고 면담을 실시하는 등 사실관계를 비공식적으로 확인해 왔다. 그러나 해당 기업으로부터는 별도의 개인정보 유출 신고는 접수되지 않은 상황이다. 그럼에도 불구하고 시민단체의 공식 조사 요청과 피해자들의 침해 신고가 이어지면서, 개인정보위는 ‘개인정보 보호법 제63조’를 근거로 조사를 개시했다.

개인정보 보호법 제63조 제1항은 위원회가 법 위반에 대한 신고를 받거나 민원이 접수된 경우, 정보주체의 개인정보 보호를 위해 필요한 경우에 자료제출 요구 및 현장조사를 할 수 있도록 규정하고 있다. 이번 조사 역시 바로 이 법 조항을 근거로 하여, 개인정보 유출 여부와 그 경위를 집중적으로 확인하는 방식으로 진행된다.

조사의 핵심 쟁점은 크게 두 가지로 요약된다. 첫째, KT와 LGU+가 해킹 피해를 실제로 입었는지 여부와, 그로 인해 개인정보가 외부로 유출되었는지에 대한 기술적 사실관계다. 둘째, 유출이 발생했다면 피해 규모 및 경로, 그리고 기업 측의 대응 및 사후조치의 적절성에 대한 평가다.

현행 개인정보 보호 체계에서는 유출이 확인될 경우, 기업은 지체 없이 위원회에 유출 사실을 신고하고 피해자에게 통지해야 한다. 그러나 이번 사건의 경우, 피해자들의 민원과 언론보도를 통해 사안이 먼저 드러났고, 당사자인 기업은 공식 유출 신고를 하지 않은 채 조사를 맞게 되었다. 이는 사후 대응의 적절성 논란과 함께 ‘소극적 대응’이라는 비판을 불러일으키고 있다.

KT의 경우, 과거에도 반복적인 개인정보 유출 사건으로 위원회의 징계를 받은 바 있으며, LGU+ 역시 해킹 및 SMS 피싱을 통한 유출 사고의 전력이 있어, 반복성과 구조적 취약성에 대한 문제 제기가 이어지고 있다. 특히 최근의 피해는 단순 유출을 넘어 무단 결제라는 경제적 피해로 연결되고 있다는 점에서 심각성이 크다.

한편, 통신사들의 내부 보안 시스템이 이처럼 반복적인 외부 침해에 노출되는 배경에는 기술적 대응의 미비와 함께, 사내 경영진의 개인정보 보호 인식 부족이 있다는 지적도 나온다. 개인정보위가 단순한 조사에 그치지 않고, 법적 책임소재와 제도적 개선책까지 도출할 수 있을지 여부가 관건이다.

또한 이번 조사 결과에 따라 개인정보위가 과징금 부과, 시정명령, 피해자 구제 권고 등 후속 조치를 어떤 수준으로 단행할지도 관심사다. 기존 사례에 비추어볼 때, 위반 사실이 확인될 경우 수억 원대 과징금 부과와 함께 피해자 통지 및 재발 방지 대책 수립 명령이 동반될 가능성이 높다.

더불어 이번 사건은 국내 개인정보보호 법제의 한계를 재점검하는 계기로도 작용할 수 있다. 시민단체들은 조사 착수 이후 개인정보위가 기업과 유착되지 않고 독립적 조사 권한을 충분히 행사할 것을 촉구하고 있으며, 제재의 실효성을 확보하기 위한 법령 개정 논의도 병행되어야 한다는 목소리가 커지고 있다.

개인정보보호위원회는 KT 및 LGU+를 대상으로 진행하는 이번 조사를 통해 유출 의혹의 진위는 물론, 기업의 대응 절차 및 시스템 전반을 점검할 예정이다. 조사 결과는 추후 행정처분과 국회 차원의 입법 논의에도 영향을 미칠 수 있다.

이번 조사가 단순한 기술적 위반 검증을 넘어, 국민의 개인정보 보호에 대한 국가의 역할과 책무를 재확인하는 기점이 될 수 있을지 주목된다. 특히 통신사라는 핵심 인프라 제공자의 반복적 유출 사례에 대해 강도 높은 제재와 구조적 대안이 뒤따르지 않는다면, 공공 신뢰는 더욱 저하될 가능성이 있다.

향후 개인정보위는 조사 결과를 바탕으로 시정명령, 과징금, 피해자 통지 등의 조치를 취할 예정이며, 관련 결과는 공개를 통해 국민 알 권리를 보장할 계획이다. 또한 이번 사례를 계기로 개인정보 보호법 전반에 대한 재검토 및 보완 입법 논의가 가속화될 수 있다.