SK텔레콤(SKT)에게 역대 최대의 과징금인 1347억9100만원이 부과됐다. 관련해서 과징금이 어떻게 산정되는지의 질문을 많이 받고 있는데, 여기서는 SKT 과징금 1347억원이 어떻게 산정됐는지를 살펴보고자 한다.
과징금의 근거 조문은 개인정보보호법 제64조의2이지만, 구체적인 산정은 '개인정보 보호법 위반에 대한 과징금 부과기준'에 의한다. 개인정보보호위원회(보호위원회)는 개인정보보호법 제64조의2 제1항의 9개 사유에 해당하는지 정밀한 검토를 거친 다음, 과징금 부과 여부를 결정한다. 다만 위반행위의 내용·정도가 경미하거나 사소한 부주의나 오류로 인한 위반행위인 경우, 정보주체에게 피해가 발생하지 아니했거나 경미한 경우 등은 법 위반행위가 있어도 과징금이 부과되지 않는다.
과징금 부과가 결정된 경우, 첫 단계로 '전체 매출액'을 계산한다. 전체 매출액이란 위반행위가 있었던 사업연도의 직전 3개 사업연도의 연평균 매출액이고, 총 매출액에서 부가가치세, 매출할인, 매출환입, 매출에누리 등을 차감한 순매출액으로 산정한다. SKT의 경우 약 17조의 매출액이 전제됐다.
이후 전체 매출액에서 위반행위와 관련이 없는 매출액을 공제해 '관련 매출액'을 산정하는데, 예컨대 개인정보 처리와 관련이 없는 B2B 매출 등이 대표적이다. SKT의 경우, 과징금 산정의 기준이 되는 매출액은 SKT 전체 매출액에서 위반행위와 관련 없는 부분을 제외한 '전체 이동통신서비스 매출액'이었다.
관련 매출액이 나오면 '기준금액'을 정한다. 기준금액은 위반행위와 관련된 매출액에 위반행위의 중대성에 따른 부과기준율을 곱해 산출하는데, 중대성 판단에 대해서는 매우 중대함, 중대함, 보통, 약함의 4단계의 값이 존재하고, 그에 따라서 부과기준율이 0.03%에서 2.7%까지 곱해진다.
보호위원회는 이번 유출 사고가 △다수의 안전조치 의무 위반이 직접적 원인이 된 점 △가입자 인증에 필요한 핵심 정보(유심 인증키 등)가 유출된 점 △약 2300만명의 대규모 개인정보가 유출된 점 등을 고려하여 '매우 중대한 위반행위'로 판단했다. 이 판단에 따라 높은 부과기준율이 적용돼 높은 기준금액이 설정됐다.
다음으로 '1차 조정' 단계에서는 위반 기간, 위반 횟수 등을 고려해 기준금액을 가중하거나 감경한다. SKT의 경우, 위반행위가 2년을 초과해 장기간 지속된 점이 가중 사유로 고려됐다.
'2차 조정' 단계에서는 조사 협조 여부, 피해 구제 노력 등을 종합적으로 고려해 1차 조정 금액을 다시 가감한다. SKT는 △유출 사고와 관련된 위반행위를 시정한 점 △이용자의 피해 회복을 위해 노력한 점 △기타 개인정보 보호를 위한 노력을 기울인 점 등이 참작돼 과징금이 일부 감경됐다.
마지막으로 '부과과징금의 결정' 단계에서는 위반행위자의 현실적 부담 능력 등을 고려해 최종 금액을 결정하게 된다.
이러한 다단계 산정 과정을 통해, '매우 중대한 위반'으로 설정된 높은 기준금액에서 위반 기간에 따른 가중과 시정 노력 등에 따른 감경 요소를 종합적으로 반영해 최종 과징금 1347억9100만원이 결정됐다. 매출액 자체가 워낙 큰 점을 고려하면, SKT 입장에서는 나름 선방한 것으로 평가된다.
바람직하게는 개인정보 유출사고를 피할 수 있으면 좋지만, 일단 개인정보 유출 사고가 나더라도, 사후적인 보호 조치나 피해 회복 노력 등도 과징금 산정시 감안되는 점도 이 기회에 유념하면 도움이 될 것으로 보인다.
김경환 법무법인 민후 변호사
![[알쓸비법] '구조적 조치'와 '행태적 조치'…공정위 기업결합 심사의 기준은?](https://www.bizhankook.com/upload/bk/article/202509/thumb/30245-73788-sampleM.jpg)
![[속보]李대통령 “안전 요건 안 갖추고 작업하다 걸리면 과징금 검토”](https://newsimg.sedaily.com/2025/09/02/2GXQUSJ4BN_1.jpg)
