KT 소액결제 대란, 범인 '내부자'라면 징역 10년 3중 처벌받는다

어느 날 새벽, 잠에서 깨어 확인한 스마트폰에 '30만원 소액결제 완료'라는 문자 메시지가 와 있다면 어떨까. 수십, 수백 명의 KT 가입자들이 실제로 겪은 일이다. 특정 지역, 특정 시간대에 집중된 이 미스터리한 결제 사건을 두고 전문가는 외부 해킹보다는 '내부자 범행'일 가능성에 무게를 싣고 있다.

임종인 고려대 정보보호대학원 석좌교수는 "협력사 직원이 초소형 기지국을 위장 기지국으로 교체했을 수 있다"며 "내부자라면 KT 중앙 서버 접속에 필요한 인증서와 비밀번호를 알 수 있어 불법 행위가 가능하다"고 진단했다.

만약 이 추측이 사실이라면, 범인 개인의 처벌을 넘어 KT는 어떤 책임을 지게 될까. 돈을 잃은 피해자들은 어디까지 보상받을 수 있을까. 책임 구조를 따라가 봤다.

범인은 3중 처벌…최대 징역 10년

내부 협력사 직원이 범인으로 밝혀질 경우, 그는 최소 3가지 혐의로 무거운 형사처벌을 피하기 어렵다.

가장 먼저 KT의 정보통신망에 정당한 권한 없이 불법적으로 침투한 행위 자체로 정보통신망법 위반(정보통신망 침해) 혐의가 적용된다. 협력사 직원이라 비밀번호를 알고 있었더라도, 범죄를 목적으로 접근한 이상 명백한 불법이다.

피해자 몰래 SMS 인증 문자를 가로채 결제한 행위는 전형적인 '기망행위'로 형법상 사기죄에 해당한다. 사기죄는 10년 이하의 징역 또는 2천만원 이하의 벌금에 처해질 수 있다. 피해자가 다수이고 피해 금액이 5억을 넘어가면 특정경제범죄 가중처벌법에 따라 3년 이상의 유기징역으로 형량이 가중된다.

마지막으로 KT와의 계약 관계를 배신하고 자신의 지위를 범죄에 악용한 행위는 업무상 배임죄를 구성할 수 있다. 이 역시 최대 10년 이하의 징역에 처해질 수 있는 중범죄다.

KT, '직원 관리 소홀' 책임 피하기 어려워

범인이 잡히더라도 피해자들의 진짜 관심사는 '내 돈을 돌려받을 수 있느냐'다. KT는 민사상 손해배상 책임을 질 가능성이 매우 높다.

우선 민법상 '사용자책임(민법 제756조)'을 물을 수 있다. 직원이 업무와 관련해 타인에게 손해를 끼쳤을 때 회사가 대신 책임지는 제도다. KT가 협력사 직원을 실질적으로 지휘·감독하는 관계였다는 점이 인정되면, "우리는 직원 관리에 최선을 다했다"고 항변해도 책임을 면하기는 어렵다.

개인정보보호법에 따른 직접적인 책임도 있다. KT는 고객의 개인정보가 유출되지 않도록 지켜야 할 개인정보처리자다. 이 의무를 위반했으므로 무단 결제된 금액(재산적 손해)은 물론, 정신적 고통에 대한 위자료까지 배상해야 할 수 있다.

만약 KT의 고의나 중대한 과실이 인정된다면 피해액의 최대 3배까지 물어줘야 할 수도 있다.

내부 통제 실패 드러나면 수백억 과징금 가능성

피해자 배상으로 끝나는 문제가 아니다. 정부의 철퇴가 기다릴 수 있다. 내부자 소행이라도 KT의 개인정보 관리 시스템에 허점이 드러났다면 막대한 과징금이 부과될 수 있다.

임종인 교수는 "심야에 한 아파트에서 수십 건의 결제가 발생했는데도 이상거래탐지시스템(FDS)이 잡아내지 못한 것은 내부 통제 실패"라고 지적했다. 이는 KT가 개인정보보호법상 안전성 확보에 필요한 조치를 다하지 않았다는 강력한 증거가 될 수 있다.

법원은 과거 판례에서 개인정보처리시스템의 보호조치 미비를 폭넓게 인정해왔다. 만약 이번 사건 역시 KT의 관리 부실로 결론 난다면, 관련 매출액의 최대 3%에 달하는 과징금이 부과될 수 있다.

KT 자체 집계 결과 10일 기준, 무단 소액결제 피해 금액은 1억 7천여만 원에 이르는 것으로 파악됐다.