Day 42: 실무 사례 #2 - KT 고객정보 유출 사건 (2012)
[ 1. 사건 개요 ]
기본 정보
- 회사 : KT (한국통신, 기간통신사업자)
- 발생 시기 : 2012년 1월 - 7월
- 발견 : 2012년 7월
- 유출 규모 : 약 1,200만 건 (전체 가입자의 약 70%)
사건 요약
- KT 콜센터 직원 등 내부자가 7개월간 고객 개인정보 1,200만 건을 불법으로 유출하여 텔레마케팅 업체에 판매했다.
[ 1.1 상세 경위 ]
범행 기간 : 2012년 1월 - 2012년 7월 (약 7개월)
범행 주체
- KT 콜센터 직원 A (주범)
- 협력업체 직원 B, C
- 텔레마케팅 업체 대표 D 등
- 총 6명
범행 방법
1. 콜센터 직원 A가 정당한 업무 권한 이용 > 고객 정보 조회 시스템 접근
2. 조회한 고객 정보를 수기 또는 캡처로 복사 > USB, 이메일, 메신저 등으로 반출
3. 협력업체 직원 B, C에게 전달
4. 텔레마케팅 업체 D에게 판매 > 건당 100원-300원
5. 텔레마케팅 업체가 불법 영업에 사용 (대출, 보험 등)
유출 데이터
- 이름 : 1,200만 건
- 주민등록번호 : 1,200만 건 (고유식별정보)
- 전화번호 : 1,200만 건
- 주소 : 1,200만 건
- 가입 상품 정보 : 1,200만 건
[ 1.2 타임라인 ]
2012년 1월
- 콜센터 직원 A, 유출 시작
2012년 1월 - 7월 (7개월)
- 지속적 유출
- 약 1,200만 건 판매
2012년 7월
- 불법 텔레마케팅 피해 신고 증가
- 경찰 수사 착수
2012년 8월
- 범행 발각
- KT 내부 조사 착수
- 유출 사실 확인
2012년 8월 20일
- 방송통신위원회 신고
- 개인정보보호위원회 신고
- 고객 통지 (SMS, 이메일)
2012년 8월 21일
- 언론 보도
- KT 대표 사과
2012년 9월
- 범인 6명 검거
2012년 12월
- 1심 선고 (징역형)
2013년 4월
- 방송통신위원회 제재
[ 2. 법률 분석 ]
[ 2.1 적용 법률 ]
주요 법률
1. 개인정보보호법
2. 정보통신망법
3. 전기통신사업법
4. 형법
적용 이유
- KT = 기간통신사업자 (특수성)
- 온라인 서비스 제공자
- 개인정보 + 주민등록번호 유출
- 내부자 범죄
[ 2.2 위반 사항 분석 ]
(1) 내부자에 대한 처벌
범인 A (KT 콜센터 직원)
개인정보보호법 제70조 (개인정보 누설)
- "업무상 알게 된 개인정보를 누설하거나 권한 없이 다른 사람이 이용하도록 제공한 자는 5년 이하의 징역 또는 5천만원 이하의 벌금에 처한다"
형법 제356조 (업무상 배임)
- "타인의 사무를 처리하는 자가 그 임무에 위배하는 행위로써 재산상의 이익을 취득하거나 제3자로 하여금 이를 취득하게 하여 본인에게 손해를 가한 때에는 10년 이하의 징역 또는 3천만원 이하의 벌금에 처한다"
실제 처벌
- 1심 : 징역 3년 실형
- 2심 : 징역 2년 6개월 (감형)
- 확정 : 징역 2년 6개월
- 벌금 2천만원
- 추징금 3천만원 (부당 이득)
협력업체 직원 B, C
- 개인정보 부정 이용죄 (개보법 제70조) > 5년 이하 징역
- 실제 : 징역 1년 - 1년 6개월 (집행유예)
텔레마케팅 업체 D
- 개인정보 부정 이용죄 + 불법 영업
- 실제 : 징역 2년 (집행유예) + 벌금 5천만원
(2) KT의 책임 - 안전성 확보 조치 의무 위반
법적 근거 : 개인정보보호법 제29조 (안전성 확보 조치)
위반 내용
1. 접근통제 미흡
- 콜센터 직원이 무제한 고객 정보 조회 가능
- 업무 목적 외 조회 차단 장치 없음
- 권한 관리 부실
2. 로그 관리 미흡
- 개인정보 조회 기록 점검 안 함
- 비정상 조회 (대량, 반복) 탐지 실패
- 월 1회 점검 의무 위반
3. 개인정보 반출 통제 미흡
- USB 차단 안 됨
- 화면 캡처 차단 안 됨
- 이메일, 메신저 모니터링 부재
4. 교육 부실
- 직원 보안 교육 형식적
- 처벌 경고 미흡
해당 조항
- 개인정보보호법 제71조 (벌칙) : "제29조를 위반하여 안전성 확보에 필요한 조치를 하지 아니하여 개인정보를 분실-도난-유출-위조-변조 또는 훼손당한 자는 2년 이하의 징역 또는 2천만원 이하의 벌금에 처한다"
- 정보통신망법 제28조 (기술적 조치) : "정보통신서비스 제공자는 개인정보의 안전성 확보에 필요한 기술적-관리적 조치를 하여야 한다"
(3) 통신비밀 보호 의무 위반
전기통신사업법 제83조 (통신비밀의 보호)
- "누구든지 전기통신사업자가 취급 중에 있는 통신의 비밀을 침해하여서는 아니 된다"
위반 내용
- 고객의 통신 이용 정보 (가입 상품, 통화 패턴 등) : 통신비밀에 해당 가능
- 무단 유출은 통신비밀 침해
[ 2.3 처벌 및 제재 ]
KT 제재
방송통신위원회 (당시 주무 부처)
- 과징금 : 4억원
- 시정명령 : 내부 통제 강화, 개인정보 접근 관리 시스템 개선, 직원 보안 교육 강화
과징금 산정
- 당시 정보통신망법 : 매출액의 3% 이하
- KT 2012년 매출 : 약 22조원
- 3% = 6,600억원 (상한)
- 실제 부과 : 4억원 (0.0006%)
- 인터파크 (14.5억원)보다 낮음
- 당시 내부자 유출에 대한 제재 기준 미흡
형사 처벌 (KT 법인)
- 안전조치 의무 위반 > 법인에 대한 양벌규정 적용 가능
- 실제 : 공개되지 않음
민사 배상
- 집단 소송
- 1인당 10만원-30만원 배상
- 총 배상액 : 약 50억원 추정
평판 손실
- 고객 이탈 : 약 100만명 (추정)
- 매출 감소 : 측정 불가
- 브랜드 이미지 타격 : 심각
총 비용
- 과징금 : 4억원
- 손해배상 : 약 50억원
- 시스템 개선 : 약 100억원 (추정)
- 평판 손실 : 측정 불가
- 총 직접 비용 : 약 154억원 이상
[ 3. 기술적 분석 ]
[ 3.1 내부자 유출의 특징 ]
외부 해킹 vs 내부자 유출 비교
- 공격자 : 외부 해커 vs 내부 직원
- 권한 : 없음 (침입) vs 있음 (정당한 권한 악용)
- 탐지 : 상대적으로 쉬움 (IDS/IPS) vs 어려움 (정상 업무로 위장)
- 피해 : 대량 (자동화) vs 대량 또는 소량 (수동)
- 동기 : 금전, 정치적 vs 금전, 불만
내부자 유출이 더 위험한 이유
1. 정당한 권한 보유 > 시스템이 정상 접근으로 인식
2. 시스템 구조 숙지 > 어디에 중요 정보가 있는지 알고 있음
3. 탐지 어려움 > 업무상 정당한 조회와 구분 곤란
4. 지속적 유출 가능 > 장기간 발각 안 됨
[ 3.2 KT의 보안 취약점 ]
(1) 접근통제 미흡
문제
- 콜센터 직원이 업무 목적 없이도 모든 고객 정보 무제한 조회 가능
- 예 : 직원 A의 업무가 요금 상담이더라도 고객 주민번호까지 조회 가능
필요한 통제
1. 최소 권한 원칙 - 직원별로 필요한 정보만 조회
- 요금 상담원 > 이름, 전화번호만
- 가입 담당자 > 주민번호 포함
2. 목적 기반 접근통제 - 조회 시 사유 입력, 부당한 조회 차단
3. 상급자 승인 - 민감정보 조회 시 팀장 승인
(2) 로그 관리 미흡
문제
- 직원 A가 7개월간 1,200만 건 조회
- 평균 월 170만 건, 평균 일 5.7만 건 > 명백히 비정상
- 하지만 KT는 탐지 못함 > 로그 점검 안 함
필요한 통제
1. 실시간 모니터링 - 비정상 조회 패턴 자동 탐지, 대량 조회-반복 조회 알림
2. 월 1회 로그 점검 (법적 의무) - 개인정보 접근 기록 검토, 이상 징후 조사
3. 경고 및 차단 - 일일 조회 건수 제한, 초과 시 자동 차단
(3) 개인정보 반출 통제 미흡
문제
- 직원 A가 조회한 정보를 USB 복사, 화면 캡처, 이메일 전송, 메신저 전송이 모두 가능했음
- 반출 통제 전무
필요한 통제
1. USB 차단 - 콜센터 PC USB 포트 물리적 차단 또는 정책으로 차단
2. 화면 캡처 차단 - 개인정보 화면 캡처 방지 솔루션, 워터마크 (누가 조회했는지 표시)
3. 이메일-메신저 모니터링 - DLP (Data Loss Prevention), 개인정보 포함 이메일 차단
4. 출력 통제 - 프린터 출력 금지 또는 기록
(4) 망분리 미흡
문제
- 콜센터 PC에서 업무망 (고객 정보 조회)과 인터넷망 (이메일, 메신저)에 동시 접속 가능
- 정보 유출 용이
필요한 통제
- 물리적 망분리 : 업무 PC (업무망 전용), 인터넷 PC (인터넷 전용), 두 망 간 데이터 이동 금지
- 또는 가상망분리 : 하나의 PC에서 가상 환경 분리
[ 3.3 사후 KT 보안 강화 조치 ]
2012년 이후 KT 조치
1. 접근통제 강화 : 최소 권한 원칙 적용, 직무별 차등 권한, 조회 사유 입력 의무화
2. 로그 모니터링 강화 : 실시간 비정상 조회 탐지, AI 기반 이상 패턴 분석, 월 1회 > 주 1회 점검
3. 반출 통제 : USB 차단, 화면 캡처 방지, DLP 도입, 워터마크 적용
4. 망분리 : 콜센터 물리적 망분리
5. 교육 강화 : 연 4회 보안 교육, 처벌 사례 공유, 서약서 징구
6. CISO 지정 : 임원급 CISO 임명, 보안 조직 강화
7. 내부 감사 : 분기 1회 내부 감사, 수시 점검
[ 4. 대응 평가 ]
[ 4.1 잘한 점 ]
신속한 조사
- 범행 발각 즉시 내부 조사
- 유출 범위 빠르게 확인
경찰 협조
- 범인 검거 적극 협조
- 6명 모두 검거
고객 통지
- 발견 즉시 SMS, 이메일 통지
- 법적 의무 준수
[ 4.2 미흡한 점 ]
사전 예방 실패
1. 7개월간 탐지 못함 : 로그 점검 안 함, 모니터링 시스템 부재
2. 기본적인 통제 부재 : 접근통제, USB 차단, 망분리
3. 내부자 위협 과소평가 : 직원 교육 부실, 징계 규정 미흡
초기 대응
- 외부 (경찰)에 의해 발견 > 자체 탐지 실패
제재 수준
- 과징금 4억원 > 매출 22조원 대비 미미 > 재발 방지 효과 의문
[ 5. 교훈 및 시사점 ]
[ 5.1 기술적 교훈 ]
1. 내부자 위협이 더 위험
- 외부 해킹만 방어하면 안 됨
- 내부자 통제가 더 중요
- 제로 트러스트 (Zero Trust) 원칙 적용
2. 접근통제 = 최소 권한
- 업무에 필요한 최소한의 정보만 허용
- 콜센터 직원에게 주민번호 조회가 꼭 필요한가 검토
3. 로그 모니터링 필수
- 개인정보 접근 기록 점검 의무 (월 1회 법적 의무)
- 실무에서는 실시간 + 주 1회 권장
- 비정상 패턴 : 대량 조회, 반복 조회, 업무 시간 외 조회 > 자동 탐지 및 경고
4. 반출 통제
- USB, 화면 캡처, 이메일 등
- DLP 솔루션, 워터마크 도입
5. 망분리
- 업무망과 인터넷망 분리 > 정보 유출 경로 차단
[ 5.2 법률적 교훈 ]
1. 내부자도 형사 처벌
- 개인정보보호법 제70조 (개인정보 누설) : 5년 이하 징역
- 형법 제356조 (업무상 배임) : 10년 이하 징역
- 실제 처벌 : 징역 2년 6개월 실형 > 내부자라도 엄중 처벌
2. 회사도 책임
- 안전조치 의무 위반 > 내부 통제 미흡 = 회사 책임
- 과징금 + 형사 처벌 가능
3. 통신사는 특별 관리
- 전기통신사업법 추가 적용
- 통신비밀 보호 의무
- 일반 기업보다 책임 무거움
[ 5.3 경영적 교훈 ]
1. 내부 통제 투자 필수
- KT 총 손실 : 약 154억원 이상
- 사전 투자 추정 : 접근통제 강화 10억원 + DLP 도입 5억원 + 망분리 20억원 = 총 35억원
- 154억원 vs 35억원 > 4.4배 차이
2. 직원 교육 중요
- 기술만으로 100% 방지 불가
- 직원 의식 개선 필수
- 처벌 사례 공유, 서약서 징구
3. 평판 회복 오래 걸림
- KT는 사건 후 수년간 "개인정보 유출 통신사"로 인식
- 고객 신뢰 회복 어려움
[ 5.4 업계 영향 ]
내부자 통제 강화
- 2012년 KT 사건 이후 : 통신사, 금융권 전반 내부 통제 강화
- 접근통제, 로그 모니터링 의무화
- DLP 도입 확대
법령 강화
- 2013년 개인정보보호법 개정
- 내부 관리 계획 수립 의무
- 접속기록 보관 및 점검 강화
[ 6. 비교 - 인터파크 vs KT ]
구분별 비교
- 유형 : 인터파크 (외부 해킹) vs KT (내부자 유출)
- 규모 : 인터파크 (1,030만 건) vs KT (1,200만 건)
- 기간 : 인터파크 (단기 - 수일) vs KT (장기 - 7개월)
- 방법 : 인터파크 (SQL Injection) vs KT (정당한 권한 악용)
- 탐지 : 인터파크 (외부 제보) vs KT (경찰 수사)
- 과징금 : 인터파크 (14.5억원) vs KT (4억원)
- 손해배상 : 인터파크 (약 100억원) vs KT (약 50억원)
- 총 손실 : 인터파크 (약 135억원) vs KT (약 154억원)
시사점
- 외부 해킹 (인터파크) : 기술적 취약점 (SQL Injection), 과징금 더 무거움 (14.5억원)
- 내부자 유출 (KT) : 관리적 취약점 (접근통제, 로그), 과징금 상대적 가벼움 (4억원), 하지만 총 손실은 더 큼 (154억원), 탐지 더 어려움 (7개월)
[ 7. 체크리스트 - KT 사건에서 배우는 내부자 통제 체크리스트 ]
접근통제
- 최소 권한 원칙 (직무별 차등 권한)
- 조회 사유 입력 의무화
- 민감정보 조회 시 상급자 승인
- 일일 조회 건수 제한
로그 관리
- 개인정보 접근 기록 보관 (1년, 5만명 이상 2년)
- 월 1회 이상 점검 (법적 의무)
- 실시간 비정상 조회 탐지
- 대량 조회, 반복 조회 자동 경고
반출 통제
- USB 차단
- 화면 캡처 방지
- DLP (Data Loss Prevention) 도입
- 워터마크 적용
- 출력 통제
- 이메일-메신저 모니터링
망분리
- 업무망-인터넷망 물리적 분리
- 또는 가상망분리
교육 및 관리
- 연 1회 이상 개인정보 보호 교육
- 내부자 유출 처벌 사례 공유
- 보안 서약서 징구
- 퇴사자 계정 즉시 삭제
- 징계 규정 명확화
모니터링
- 내부 감사 (분기 1회)
- 이상 징후 즉시 조사
- 익명 신고 채널
[ 8. 관련 법령 ]
개인정보보호법
- 제29조 (안전성 확보 조치)
- 제34조 (개인정보 유출 통지)
- 제70조 (벌칙 - 개인정보 누설, 5년 이하)
- 제71조 (벌칙 - 안전조치 위반, 2년 이하)
정보통신망법
- 제28조 (기술적 조치)
- 제45조의3 (CISO 지정)
전기통신사업법
- 제83조 (통신비밀의 보호)
- 제104조 (벌칙 - 1년 이하)
형법
- 제356조 (업무상 배임, 10년 이하)
안전성 확보조치 기준
- 제4조 (접근통제)
- 제5조 (접속기록의 보관 및 점검)
[ 9. 실무 적용 ]
[ 9.1 콜센터 보안 강화 방안 - 접근통제 3단계 ]
Level 1 : 기본 정보만 (이름, 전화번호)
- 적용 대상 : 일반 상담원
Level 2 : 일부 민감정보 (주소, 가입 정보)
- 적용 대상 : 선임 상담원
Level 3 : 모든 정보 (주민번호 포함)
- 적용 대상 : 팀장급, 승인 필요
로그 모니터링 기준
- 경고 발생 : 일 100건 이상 조회, 동일 고객 3회 이상 반복 조회, 업무 시간 외 조회 (야간-주말), 본인 또는 가족 정보 조회
- 자동 차단 : 일 500건 이상 조회, 10회 이상 반복 조회
[ 9.2 DLP 정책 예시 ]
이메일-메신저 차단 대상
- 주민등록번호 패턴
- 신용카드번호 패턴
- 대량 개인정보 (이름 + 전화번호 10건 이상)
- 탐지 시 : 자동 차단 + 보안팀 알림
[ 9.3 내부자 유출 처벌 사례 교육 예시 ]
KT 직원 A씨 사례
- 7개월간 1,200만 건 유출
- 약 3천만원 수익
처벌 결과
- 징역 2년 6개월 실형 (교도소)
- 벌금 2천만원
- 추징금 3천만원
- 전과자
- 재취업 불가
[ 학습 정리 ]
KT 사건에서 배운 점
- 내부자 위협은 외부 해킹보다 탐지 어렵고 피해 클 수 있음
- 정당한 권한 악용이 가장 위험 (최소 권한 원칙 필수)
- 로그 모니터링은 법적 의무이자 필수 통제 수단
- 대량-반복 조회는 명백한 비정상 패턴
- 반출 통제 (USB, 화면 캡처, DLP) 필수
- 내부자라도 엄중 처벌 (징역 실형)
- 회사도 안전조치 의무 위반으로 책임
- 통신사는 통신비밀 보호 의무 추가
- 7개월간 1,200만 건 유출로 과징금 4억원 + 손해배상 50억원 + 시스템 개선 100억원 = 총 154억원 이상 손실
- 사전 투자 35억원으로 예방 가능했음 (4.4배 차이)