한국소비자원 소비자분쟁조정위원회가 SK텔레콤에 개인정보 유출 사고와 관련해 1인당 10만원 상당을 보상하라는 조정안을 내놨다. 총 2조 3000억원으로 추산되는 보상안에 대해 SK텔레콤은 향후 15일간 수용 여부를 결정할 수 있는데, 일단 ‘신중히 검토하겠다’는 입장을 보였다. 조정위는 21일 “7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 “소비자 개인의 피해 회복을 위해 SK텔레콤에 보상 책임이 있음을 확인했다”고 밝혔다. 이어 조정위는 지난 18일 집단분쟁조정회의를 통해 개인정보 유출 사고 피해자들에게 1인당 5만원의 통신요금 할인과 ‘티플러스포인트’ 5만 포인트를 지급하는 내용의 조정안을 결정했다고 설명했다. 티플러스포인트는 SK텔레콤의 제휴 업체에서 현금처럼 사용할 수 있는 포인트여서, 1인당 10만원 상당의 보상안을 내놓은 셈이다. 이에 대해 SK텔레콤은 “조정위의 조정안 내용을 면밀히 검토한 후 신중히 결정할 것”이라며 조정안 수용 여부를 숙고하겠다는 공식 입장을 내놨다. 다만 SK텔레콤은 아직 조정 결정서를 공식적으로 전달받지는 않은 것으로 알려졌다. 지난 5월 SK텔레콤 이용자 58명은 ‘홈 가입자 서버’ 해킹 사고로 개인정보가 유출되는 피해를 입었다며 한국소비자원에 피해 보상 및 재발 방지를 요구하는 집단분쟁조정을 신청했다. 조정위가 결정서를 양측에 공식 통지한 후 15일 기한 내에 별도 의사 표시가 없으면 조정안을 수락한 것으로 취급하고 재판상 화해의 효력이 발생한다. 조정위는 이 경우 조정을 신청하지 않은 피해자들도 같은 보상을 받을 수 있도록 관련 절차를 진행하겠다는 입장이다. SK텔레콤의 해킹 사고 피해자가 약 2300만명에 달한다는 점을 감안하고 1인당 10만원씩 계산하면 보상 규모는 2조 3000억원에 이를 것으로 추산된다. 이는 올해 1~3분기 SK텔레콤 매출액(12조 771억원)의 19%, 영업이익(953억원)의 24배에 달하는 규모다. 다만 조정위는 SK텔레콤이 지난 8월 선제적으로 제공한 고객감사패키지의 50% 요금 할인은 보상안에서 공제하기로 했다. 예를 들어 피해 고객이 8월 4만원의 요금 할인을 받았다면 SK텔레콤은 해당 고객에게 나머지 1만원의 보상액과 5만원 상당의 티플러스포인트만 추가 지급하면 된다. 이를 반영하면 SK텔레콤이 실제로 추가 부담해야 할 보상액은 약 1조 8000억원 규모로 추산된다. 이는 지난해 SK텔레콤의 영업이익(1조 8234억원)과 맞먹는 규모다. 그러나 업계에서는 SK텔레콤이 비용 부담으로 인해 해당 조정안을 수용하기 어려울 것으로 보고 있다. SK텔레콤은 이번 해킹 사태와 관련해 이미 1조원 이상을 고객 보상 및 정보보호 투자 비용으로 지출했고 개인정보보호위원회로부터 역대 최고 규모인 1348억원의 과징금을 부과받은 상태다. 앞서 개인정보위 산하 분쟁조정위원회가 피해자들에게 30만원씩 배상하라고 결정한 조정안에 대해서도 SK텔레콤은 “사고 이후 회사가 취한 선제적 보상 및 재발방지 조치가 조정안에 충분히 반영되지 않았다”며 불수용한 바 있다. 또 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 직권 조정 역시 수용하지 않았다. SK텔레콤이 조정안을 받아들이지 않는다면 피해자들은 민사소송 등을 통해 분쟁 절차로 넘어가야 한다. 그간 관련 재판 결과는 상이했다. 해킹으로 1080만명의 명의가 유출돼 2008년 소비자원 분쟁조정위가 5만~10만원을 배상하라고 했지만 조정이 무산됐던 옥션 사건의 경우, 2015년 대법원은 합리적 수준에서 기업이 개인정보 보호 조처를 시행했다며 소비자 배상 책임이 없다고 판단했다. 반면 법원은 2016년 전산망 해킹으로 1030만명의 회원 개인정보가 유출된 인터파크 사안에 대해서는 소송을 제기한 2400여명에게 1인당 10만원씩 배상 판결을 내렸다.

한국소비자원 소비자분쟁조정위원회가 지난 4월 개인정보 유출 사고를 빚은 SK텔레콤에 피해자 1인당 10만원 상당을 지급하라고 결정했다. 이에 대해 SK텔레콤은 21일 “내용을 면밀히 검토한 뒤 신중히 결정하겠다”고 밝혔다. 소비자위는 지난 18일 집단분쟁조정회의를 열고 “지난 7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 SK텔레콤에 보상 책임이 있음을 확인했다. 이어 각 신청인에게 1인당 5만원의 통신요금 할인과 제휴 업체에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트를 지급하도록 했다. 이는 지난 5월 소비자 58명이 해킹 사고로 개인정보 유출 피해를 봤다며 피해 보상과 재발 방지를 요구하는 집단분쟁조정을 신청한 데 따른 것이다. 위원회는 SK텔레콤이 조정 결정을 수락하면 조정 절차에 참여하지 않은 피해자에게도 동일한 보상이 이뤄질 수 있도록 보상계획서 제출을 포함한 관련 절차를 진행하기로 했다. 이럴 경우 해킹 사고 피해자가 2300만명에 달해 보상 규모는 총 2조 3000억원에 이를 것으로 예상된다. SK텔레콤은 조정 결정서를 받은 날로부터 15일 이내에 수락 여부를 위원회에 통보해야 한다. 이와 관련 SK텔레콤 안팎에서는 막대한 비용 부담을 고려할 때 조정안을 수락하기 어려울 것이라는 전망이 나온다. SK텔레콤은 이번 해킹 사태로 이미 1조원 이상을 고객 보상과 정보보호 투자에 지출했고 개인정보보호위원회로부터 1348억원의 과징금도 부과받았다. 올해 실적도 급감했다. 지난 3분기 SK텔레콤 영업이익은 484억원으로 지난해 같은 기간보다 90.9% 감소했다. 매출은 3조 9781억원으로 전년 동기 대비 12.2% 감소했다. 앞서 SK텔레콤은 개인정보보호위원회로부터 1인당 30만원의 배상 결정을 받았지만 수락하지 않았다. 또 연말까지 위약금 면제 조치를 연장하고, 결합상품 가입자에게 위약금을 절반 수준으로 보상하라는 방송통신위원회의 직권 조정 역시 받아들이지 않았다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

SK텔레콤이 유심 해킹 사태로 개인정보 유출 피해를 본 고객들에게 1인당 30만원을 배상하도록 한 개인정보보호위원회 분쟁조정위원회의 조정안을 수용하지 않겠다고 20일 밝혔다. SK텔레콤 관계자는 “조정위의 결정을 존중하지만, 사고 후 회사가 취한 선제적 보상과 재발 방지 조치가 조정안에 충분히 반영되지 않아 수용하지 않기로 했다”면서 “다만 고객 신뢰 회복과 추가 피해 예방을 위한 조치는 계속 이어갈 것”이라고 전했다. 앞서 분쟁조정위는 지난 4일 SK텔레콤에 피해 고객 3998명에 대해 1인당 30만원 지급을 권고하는 조정안을 내놓았다.

정부 “3998명에 30만원씩 지급”수용 시 2300만명 확대 가능성업계 “자진신고 기피 등 부작용AI 기반 보안 강화가 핵심 대책” 개인정보보호위원회 산하 분쟁조정위원회가 SK텔레콤의 개인정보 유출 사건과 관련해 내린 배상 조정안의 수락 시한이 다가오면서 통신업계의 관심이 집중되고 있다. 현재 조정안이 수용되면 전체 고객(약 2300만명)에게 확대 적용될 가능성이 있어 SK텔레콤이 조정안을 거부할 소지가 높게 점쳐진다. 18일 통신업계에 따르면 개인정보분조위는 지난 4일 SK텔레콤 해킹 사태 피해 고객 3998명을 대상으로 1인당 30만원의 배상금을 지급하라는 조정 결정을 의결했다. SK텔레콤은 이튿날 조정안을 송달받았으며, 15일의 검토 기간이 끝나는 21일 자정까지 수락 여부를 통보해야 한다. 기한 내 입장을 밝히지 않으면 조정은 불성립으로 처리된다. 앞서 SK텔레콤은 조정안에 대해 “자발적인 보상 노력이 반영되지 않아 아쉽다”고 입장을 낸 만큼 이를 받아들이지 않을 거라는 전망이 대체적이다. 실제 SK텔레콤은 사고 발생 직후 1200만명 대상 무료 유심 교체, 7000억원 규모의 보안 혁신 투자 등을 시행했다. 그 영향은 실적에도 반영돼 올해 3분기 연결 기준 영업이익은 484억원으로 전년 대비 90.9% 급감했다. 지난 8월 개인정보위가 의결한 1348억원의 과징금 또한 회계상 비용으로 반영되면서 재무적 부담이 더욱 커진 상황이다. 이러한 조치에도 최대 7조원 규모로 확대될 수 있는 조정안이 나오면서 업계 전반에서는 이른바 ‘역인센티브’ 우려가 커지고 있다. 역인센티브란 제도가 의도한 취지와 달리, 기업이 오히려 사고 사실을 숨기거나 자진 신고를 꺼리게 만드는 부작용을 말한다. 배상 규모가 지나치게 클 경우 결국 소비자 요금 인상이나 보안 투자 축소로 이어질 수 있다는 지적도 나온다. 전문가들은 고액 배상이나 과징금만으로는 해킹 사태를 근본적으로 막기 어렵다는 점을 강조한다. 김태오 창원대 법학과 교수는 “어떤 정보가 유출됐는지에 따라 배상 규모가 달라지는 것이 타당한데, 1인당 30만원은 사실상 최고 수준”이라며 “기업 입장에서는 법정에서 다퉈볼 여지를 남긴 조정안”이라고 말했다. 결국 근본적인 소비자 보호는 신뢰 회복과 재발 방지에 있으며, 통신사와 IT 기업이 추진하는 ‘제로 트러스트’(Zero Trust) 등 AI 기반의 보안 모델 도입이 핵심 대책이라는 평가가 나온다. 제로 트러스트는 내부 시스템 접근자와 기기까지 잠재적 위협으로 간주해 접근을 엄격히 통제하는 보안 모델로, 업계에선 차세대 보안 체계로 주목받고 있다.

개인정보 분쟁조정위원회는 약 2300만명의 가입자 개인정보를 유출한 SK텔레콤을 상대로 제기된 분쟁조정 신청 사건에 대해 SKT가 신청인들에게 각 30만원의 손해배상금을 지급하도록 하는 조정안을 의결했다고 4일 밝혔다. 분쟁조정위는 전날 전체회의에서 이러한 결정을 내리고 SKT에 개인정보 보호조치 강화 등 재발방지 대책을 함께 권고했다. 앞서 SKT의 해킹 사고로 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 이와 관련 지난 4월부터 3998명이 SKT를 상대로 분쟁조정을 신청했다. 분쟁조정위는 신청인들이 유출정보 악용으로 인한 휴대전화 복제 피해 불안과 유심 교체 과정에서 겪은 혼란과 불편에 대한 정신적 손해를 입었다고 보고 손해배상금을 결정했다고 설명했다. 분쟁조정위는 조정안을 신청인과 SKT에 각각 통지했다. 양측은 통지일로부터 15일 이내 수락 여부를 밝혀야 하는데 어느 한쪽이라도 거부하면 조정은 불성립된다. SKT 측은 조정안에 대해 “회사의 사고수습과 자발적이고 선제적인 보상 노력이 충분히 반영되지 않아 아쉽다”며 “수락 여부는 관련 내용을 면밀히 검토한 후 신중히 결정할 것”이라고 밝혔다. 업계 안팎에선 SKT가 조정안을 수락할 가능성은 높지 않을 것으로 보고 있다. 조정안을 수락하게 되면 대규모 추가 조정 신청이 들어올 수 있고, 잠재적 배상액이 최대 6조 9000억원에 이를 수 있어서다.

SKT·롯데카드·KT 등 각종 서버 해킹 피해자들이 손해배상 소송을 제기하고 있지만 ‘1인당 10만원’ 배상액에 갇혀 피해자에게 돌아오는 실익이 적다는 지적이 나온다. 특히 집단 소송은 시간이 오래 걸리는 ‘소모전’인데다 승소 가능성이 적다는 점도 문제점으로 꼽힌다. 28일 법조계에 따르면 주요 해킹 사건으로 인한 개인 정보 유출 관련 피해 배상액은 대부분 ‘1인당 10만원’ 수준이다. 개인정보 보호법상 정보가 유출되면 법정 손해배상은 300만원 이하 범위에서 가능하지만, 개인 피해자들이 기업의 과실을 입증하기 어려워 패소하거나 소액 판결에 그치고 있기 때문이다. 실제 지난해 모두투어 개인정보 유출 사건과 관련, 서울중앙지법은 지난달 12일 위자료 액수를 10만원으로 인정하는 판결을 했다. 2014년 NH농협·KB국민·롯데카드 개인정보 유출 사건, 2016년 인터파크 해킹 사건에서도 1명당 10만원 배상 판결이 나왔다. 이마저도 집단 소송에 참여한 피해자만 배상받을 수 있었다. 법적으로 손해 배상이 인정되려면 정보 유출로 인해 실제 재산상 피해가 발생했다는 점과 기업 측의 고의 또는 과실을 입증해야 해서다. 결국 개인에 불과한 피해자가 오랜 법적 다툼 끝에 패소하는 사례가 적지 않다. 예컨대 2008년 옥션 개인정보 유출의 경우 대법원은 “(기업이) 해커 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안도 기술의 발전 속도 등을 고려할 때 기대하기 쉽지 않다”며 기업의 손을 들어줬다. 소송 자체도 장기전인데 일부 로펌이 소송인단 모집에만 열을 올리고 정작 소송에 들어가면 성실하게 대응하지 않는다는 비판도 나온다. 15년 전 네이트 등 해킹 사건의 집단 소송을 주도했던 원고 A씨는 “이제까지 책임감 있게 소송을 진행하는 로펌을 제대로 보지 못했다”며 “승소금을 ‘먹튀’하는 변호사도 있다”고 했다. 피해자에게 착수금이나 성공 보수 등을 무리하게 요구하는 로펌도 있다고 한다. 집단 소송은 ‘돈이 안 되는’, ‘대기업과 맞서는’ 사건으로 분류돼 로펌도 소극적인 분위기다. 집단 소송 경험이 있는 한 변호사는 “다수의 원고를 관리하면서 집단 소송을 운영하면 로펌 입장에서는 남는 것이 없다”면서 “영세 로펌들이 싸게 소송 인원을 모집한 뒤 나중에 가서 성공보수로 전체 배상액의 20~30%를 요구하는 방식을 쓴다”고 말했다. 최근에는 피해자들의 불편을 최소화할 수 있는 새로운 유형의 소송도 나오고 있다. 한 로펌은 SKT 해킹 피해자들에게 손해배상 채권을 산 뒤 대규모 소송을 제기했다. 피해자가 로펌이 만든 공식 사이트에서 5만원에 채권을 매각하면, 로펌이 이를 매입해 소송을 제기하는 방식이다.

KT 무단 소액결제 피해 지역이 당초 알려진 곳 외에 서울 서초구·동작구, 경기 고양시 일산동구 등에서도 발생했던 사실이 뒤늦게 파악됐다. 서울 서남권과 인근 경기 지역에 집중됐던 것으로 파악됐던 무단 결제 피해가 서로 떨어진 지역에서도 확인됨에 따라 KT 소액결제 이용자에 대한 전수조사 및 수사 확대 필요성이 커졌다. 20일 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에게 제출한 인증 시간 기준 피해 지역 자료에 따르면 알려진 곳들 외에도 서울 동작구, 서초구, 고양시 일산동구, 영등포구 등이 포함됐다. 동작·관악·영등포·서초·광명·금천·일산동구·과천·부천소사·부평 KT는 처음 피해가 발생한 시점을 8월 5일로 파악했는데 이때부터 8일까지 나흘간 서울 동작구, 관악구, 영등포구 일대에서 15명이 26차례에 걸쳐 962만원의 피해를 봤다. 범행을 저지른 이들은 8일, 그리고 주말을 건너뛴 11일 이틀에 걸쳐서는 서울 서초구에서 3명을 상대로 모두 6차례에 걸쳐 무단으로 소액결제 227만원을 가로챘다. 12~13일에는 경기 광명시에서, 15일에는 서울 금천구, 20일 경기 고양시 일산동구, 21일 경기 과천시에서 무단 소액결제 범행을 이어갔다. 나흘간 범행을 잠시 멈춘 뒤 26일부터 기존에 알려진 대로 금천구, 광명시, 경기 부천시 소사구·부평구 등에서 다시 활동했다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실들도 많은데 이제야 찔끔찔끔 주요 정보를 내놓는 것이 이해되지 않는다”고 비판했다. 심지어 KT 무단 소액결제 사건이 처음 알려진 9월 4일과 5일에도 100건 가까운 무단 결제가 있었던 것으로 나타났다. 비정상적인 결제 시도를 KT가 차단하기 직전까지 무단 소액결제가 상당 규모 진행된 것이다. 최초로 알려진 4일 이용자 36명에게서 36건의 피해(2499만원)가 있었고, 5일 11명이 14건(550만원) 무단 소액결제 피해를 봤다. 패스앱·카카오톡 무단 접속 피해 제보도…KT 소극대응 논란 KT는 4일과 5일에 피해 건수가 없었다고 국회에 보고한 바 있다. 이후 1차 발표에서 피해자 수를 278명으로 집계했다가 4일과 5일 피해를 뒤늦게 포함해 362명으로 정정했다. 피해 건수는 1차 집계 당시 527건에서 764건으로 늘었다. KT는 “5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다”고 밝혔다. KT 피해 현황이 초기 발표에서 점점 확대되는 것은 당초 자의적으로 자동응답전화(ARS)에 국한해 피해를 파악하고 소극적으로 대응하기 때문이라는 지적이 끊이지 않고 있다. KT는 해킹범이 피해자들의 휴대전화로 갔어야 할 ARS 신호를 탈취해 소액결제에 성공한 사례에만 주목해 피해 현황을 ARS 수신 상황만 따져 집계하고 있다. 그러나 연합뉴스에 따르면 이 사건을 최초로 제보한 경기 광명시의 A씨는 자신이 진행하지 않은 패스(PASS) 인증을 제삼자가 한 기록이 남아있다고 전했다. 또 카카오톡 무단 로그인을 겪은 피해자들도 있었다. 해킹범이 ARS 신호 탈취 외에 다른 범행 수법도 썼을 가능성까지 KT가 고려했어야 하는 것 아니냐는 지적이다. 황 의원은 “KT 해킹 사태의 전모가 밝혀지면 밝혀질수록 KT가 거짓 변명만 늘어놓았다는 사실이 드러나고 있다”면서 “지금이라도 소액결제가 이뤄진 모든 고객에게 직접 결제 현황을 고지하고 피해 전수조사에 나서야 한다”고 촉구했다. 그러면서 “고의적 축소 은폐 시도를 반복한 KT에 대해서는 SKT 때보다 더 강력한 제재와 함께 피해 배상 강제가 이뤄져야 한다”고 강조했다.

SK텔레콤 유심 해킹 사고로 피해를 본 가입자들이 제기한 손해배상 청구 집단소송에서 SKT 측이 “원고의 청구를 기각해달라”는 답변서를 법원에 제출했다. 15일 법무법인 대륜에 따르면 SKT는 지난 3일 서울중앙지법에 ‘원고의 청구를 모두 기각하고 소송비용을 원고가 부담한다’는 내용으로 손해배상 청구에 관한 답변서를 제출했다. 대륜은 SKT 유심 해킹 사고로 피해를 본 용자 250여명을 대리해 SKT에 1인당 위자료 100만원을 청구하는 소송을 제기했다. 답변서에서 SKT는 구체적 반박을 유보했다. 개인정보 보호법 위반 여부와 관련해 개인정보위원회의 의결이 있었지만, 의결서가 송달되지 않아 구체적 이유를 확인하지 못했다는 이유다. SKT 측은 ‘이 사건에서 다투는 사실관계와 쟁점이 확인되는 대로 준비서면을 통해 상세하게 의견을 개진하겠다’라고 밝혔다. SKT가 방송통신위원회의 가입자 해지 위약금 면제 기간 연장 권고를 받아들이지 않은 데 이어 손해배상 청구도 거부하면서 해킹으로 피해를 본 소비자에 대한 보상을 외면한다는 지적도 나온다. 앞서 방송통신위원회 분쟁조정위원회는 SKT에 약정 해지 위약금 면제 기간을 올해 말까지 연장하라고 권고했다. SKT는 지난 7월 4일 열흘 뒤까지 약정을 해지한 고객은 위약금을 면제하겠다고 발표했는데, 마감 시한이 너무 짧아 소비자가 충분히 인지하기 어려웠다는 이유다. 그러나 SKT가 회신 기한 내에 의견서를 내지 않으면서 자동으로 권고를 받아들이지 않게 됐다. 손해배상 집단소송을 이끄는 대륜 특별수행본부(조영곤·여상원·김명철 변호사)는 “SKT가 과징금 1348억 원을 부과받고도 고객 피해에는 책임 있는 태도를 보이지 않는 것”이라며 “이번 소송을 통해 개인정보 보호를 기업 경영의 최우선 가치로 삼는 계기를 마련하고, 기업의 무책임에 경종을 울리겠다”라고 밝혔다.

SK텔레콤이 유심 해킹 사고 이후 이동통신사를 변경하는 고객을 대상으로 위약금을 면제하기로 하면서 가입자 이탈이 확대될 것으로 보인다. 이를 막기 위해 5000억원에 달하는 별도의 보상 프로그램을 마련하기도 했으나, 삼성전자의 신형 휴대전화 출시와 이동통신 단말기유통구조개선법(단통법) 폐지를 앞두고 있어 통신업계 신규 유치전이 치열해질 전망이다. SK텔레콤은 해킹 사고가 발생한 지난 4월 18일 자정 기준 SK텔레콤 가입자 중 4월 19일 0시부터 오는 14일 24시까지 가입을 해지하는 고객의 위약금을 전액 면제하겠다고 지난 4일 밝혔다. 6일 SK텔레콤에 따르면 전날인 5일부터는 T월드 홈페이지와 앱을 통해 위약금 환급액을 조회할 수 있으며, 15일부터 환급 신청이 가능하다. 환급은 신청일 기준 7일 이내 받을 수 있다. SK텔레콤은 이탈하려는 고객을 붙잡고 남아있는 고객에 감사를 표시하고자 5000억원 규모의 보상 프로그램을 마련했다. 8월 한 달간 통신 요금을 50% 할인해 주고, 8월부터 12월까지 매달 데이터 50GB(기가바이트)를 추가로 제공하는 게 골자다. 연말까지 T멤버십을 통해 뚜레쥬르·파리바게뜨·도미노피자 등 제휴사에서 최대 50~60% 할인 혜택도 제공한다. 각종 보상안에도 위약금 면제 카드를 쓴 만큼 14일까지 가입자 이탈은 지속될 것으로 보인다. 사태 발생 이후 SK텔레콤으로부터 이탈한 가입자는 80만명이 넘는 것으로 알려졌는데, 위약금 면제를 발표한 다음 날인 지난 5일에도 SK텔레콤에서 3865명이 KT와 LG유플러스로 이동한 것으로 나타났다. 지난 5월 유영상 SK텔레콤 사장은 국회에 출석해 “위약금을 면제하면 최대 250만명이 이탈할 수 있다”고 내다보기도 했다. SK텔레콤은 올해 매출액 전망치를 17조 8000억원에서 17조원으로 하향 조정했다. 이동통신 3사의 고객 유치전 역시 더욱 치열해질 전망이다. 9일엔 삼성전자가 신형 폴더블폰을 공개할 예정이라 번호이동 수요가 늘어날 가능성이 높다. 22일엔 단통법이 폐지되면서 각 사가 보다 유연한 보조금 정책을 내세워 신규 가입자를 유치할 수 있게 됐다. SK텔레콤이 고객 유치를 위해 다른 통신사보다 많은 보조금을 내세우고 있는 만큼 KT나 LG유플러스도 지원금 규모를 현행보다 확대할 가능성이 점쳐진다. 개인정보보호위원회는 SK텔레콤에 대해 역대 최고 수준의 과징금 부과를 예고한 상태다. SK텔레콤 가입자 9000여명이 제기한 손해배상 청구 소송도 남아있다.

평범한 직장인 A씨는 2020년 자신의 블로그에 ‘여혐(여성혐오) 논란’에 휘말렸던 한 게임회사의 기부 소식과 관련해 부정적 의견을 올렸다가 끔찍한 경험을 했다. 소위 ‘남초 커뮤니티’에 자신의 신상이 박제돼 조리돌림을 당하고 있다는 사실을 알게 된 것이다. 해당 커뮤니티에는 A씨의 사진과 함께 성적인 모욕 문구가 올라가 있었다. 충격을 받은 A씨는 게시자들을 고소했지만 모욕죄에 해당하는 법적 조치만 취할 수 있었다. 당시에는 A씨의 사진을 게시하는 행위가 개인정보보호법 위반에 해당되지 않았기 때문이다. 사건을 맡았던 송지은(39) 변호사는 이를 계기로 개인정보 보호 문제에 관심을 갖게 됐다. 피해의 심각성대규모 유심 정보 유출 사태 외에도개인정보 알아내 연락·방문 흔한 일약 2695만건의 개인정보가 유출된 것으로 추정되며 충격을 안긴 ‘SKT 유심 정보 유출 사태’ 역시 정보기술(IT) 대기업의 허술한 개인정보 보안·관리가 수면 위로 드러난 경우다. 송 변호사는 17일 서울신문과의 인터뷰에서 “SKT 사태와 같은 대규모 유출 피해뿐만 아니라 개인정보 유출은 우리 주변에 생각보다 심각하게 발생하고 있다”며 “누군가 개인정보를 알아 내 수시로 연락하고 방문하거나 음식을 주소지로 배달시켜 골탕을 먹이는 일은 흔하다”고 말했다. 비영리단체 ‘새로운 미래를 위한 청년변호사 모임’(새변)의 창립 멤버이자 공동대표인 송 변호사는 개인정보 보호 문제에 각별히 주목하며 목소리를 내고 있다. ‘사회의 주역인 청년들의 법감정이 입법에 반영되도록 하자’는 취지에서 출발한 새변은 육아·주거 등 청년들의 관심사에서부터 시작해 최근 인공지능(AI) 등 각종 기술 발전으로 사회적 파급력이 커지고 있는 개인정보 보호나 사이버 윤리 등의 분야에도 목소리를 내고 있다. 다음은 송 변호사와의 일문일답. -이재명 대통령이 개인정보 유출 사고 발생 시 명확한 책임을 부과하겠다고 공약했다. “기업의 정보 보호 투자 규모나 인력 운용 등을 투명하게 공개하는 공시제도를 더욱 강화하고, 개인정보 유출 시 중대 피해가 예상되는 경우에는 전 국민 대상 즉시 공지 의무화도 추진하겠다고 명시한 점이 눈에 띈다. 다만 발생한 피해 등의 구제에 대한 구체적인 내용이 없는 점이 아쉽다. 또 기업 차원의 대규모 유출만이 아닌 개인 단위 정보 유출에 대한 문제의식도 강조됐으면 한다.” 변화 못 따라가는 법사생팬, 연예인 정보 공유·공동구매현행법, 영리 목적 업자 처벌만 명시-개인 단위 정보 유출 문제를 강조하는 이유는. “요즘에는 다양한 목적으로 개인정보 유출이 이뤄지고 개인도 손쉽게 정보를 취득할 수 있다. 그런데 법은 이같은 변화를 따라가지 못하는 측면이 있다. 예를 들어서 ‘사생팬’들이 온라인에서 자신이 좋아하는 연예인의 개인정보를 구매하고 이를 다른 팬들과 공유하거나, 심지어 팬들끼리 개인정보를 ‘공동구매’하는 시장이 형성돼 있다. 그러나 현행법상 타인의 개인정보를 구매하는 행위를 제재하기는 어렵다. 현재의 개인정보보호법은 개인정보를 부정하게 취득해 영리를 목적으로 판매하는 업자에 대한 처벌만을 명시하고 있기 때문이다. 타인의 개인정보 구매·제공 행위에 대한 규제책도 필요하다.” -이를 바탕으로 정책 제안을 해 본다면. “개인정보 유출 시 실태 점검과 처분을 강화해야 하며 징벌적 손해배상 조항이 신설돼야 한다. 또 최근에는 범죄 악용 목적이 아니더라도 데이터 기업들이 이용자의 타사 행태 정보를 수집해 광고에 활용하거나, 제3자가 소셜미디어(SNS)에 전체 공개로 올린 게시물 속 개인정보를 다른 목적으로 이용하는 등의 일들도 많다. 단순히 개인정보를 불법으로 유출하는 행위에 대한 규제뿐만 아니라 구매, 재가공, 재유포하는 행위 전반에 관한 제도적 설계가 촘촘히 이뤄져야 한다.” -징벌적 손해배상과 같이 무조건 기업의 책임을 강화하면 관련 산업 성장을 저해할 수 있다는 우려도 있다. “동의한다. 그러나 우리나라 현행법상 기업에 배상 책임을 물으려면 고의성이나 중대 과실을 입증해야만 하는데, 이를 입증하기가 쉽지 않다. 또 고의가 없었다 하더라도 SKT 사태와 같이 대규모 핵심 정보 유출은 막대한 피해를 발생시킬 수 있기 때문에 기업에도 경각심을 줄 필요가 있다.” 징벌적 손해배상 신설해야구매·재가공 행위 관련 제도 설계를 심각성 인지하는 인식 변화도 필수-법적인 보완만 이뤄지면 되나. “사건을 맡다 보면 수사기관에서조차 개인정보 유출의 심각성을 인지하지 못하는 경우가 많다. 얼마 전엔 기업 인사 담당자가 퇴사하면서 직원들 개인정보를 저장해 빼돌린 사건이 있었는데, 수사관이 ‘다운로드만 받은 게 뭐가 문제냐’라고 하더라. 제도적 개선이 시급하지만 인식의 변화가 반드시 함께해야 한다.” ■ 새로운 미래를 위한 청년변호사 모임은 이념이나 정치 성향에서 벗어나 청년들의 피부에 와닿는 입법 제안을 하자는 취지로 ‘MZ세대’(1980년대 초~2000년대 초 출생) 변호사 200여명이 모여 2023년 3월 만든 비영리단체다. 정부 정책 관련 연구 용역 수행, 자문 제공 등의 활동을 한다. 육아와 돌봄, 주거 안정, 개인정보에 이르기까지 다양한 분야에서 목소리를 내고 있다.

지난 4월 드러난 SK텔레콤 유심 정보 해킹 사태와 관련해 피해자들의 집단 소송이 이어지고 있다. 10여 곳의 로펌을 중심으로 수십만명의 SK텔레콤 가입자들이 1인당 위자료 50~100만원을 배상하라고 요구하고 있다. 소송에서는 SK텔레콤의 고의 또는 중과실을 입증할 수 있는지 여부가 관건이 될 전망이다. 다만 유심 정보 해킹 사태가 집단 소송 이슈로 덮이면서 자칫 기업의 자발적 보상이나 해커에 대한 수사가 어려워질 수 있다는 우려도 제기된다. 6일 법조계에 따르면, 10여 곳의 로펌이 SK텔레콤 가입자를 대리해 손해배상 소송을 제기한 상황이다. 로피드법률사무소는 지난달 16일 9175명의 가입자를 대리해 1차 소송을 제기한 데 이어 지난 2일 3917명을 대리해 2차 소송도 냈다. 1인당 50만원의 위자료를 배상하라는 취지다. 법무법인 대륜도 지난달 27일 가입자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기했다. 법무법인 로고스, 거북이, 대건, LKB 등도 집단 소송을 제기했거나 준비하고 있다. 소송의 쟁점은 ▲ 유심 정보 유출에 SK텔레콤의 고의 또는 중과실이 있었는지, ▲ 유심 정보 유출에 따른 구체적인 손해가 발생했는지, ▲ 유심 정보 유출과 구체적 손해 사이에 인과관계가 있는지 등이 될 전망이다. 소송을 제기한 로피드법률사무소는 SK텔레콤이 개인정보보호법 및 정보통신망법상 개인정보 안전성 확보 조치 의무와 개인정보 유출 통지 및 신고 의무 등을 위반했다고 주장한다. 또 유출에 따른 피해 최소화 조치 의무를 소홀히 하고 정보보호최고책임자(CISO)의 책임을 방기했다는 입장이다. 다만 SK텔레콤의 고의 또는 중과실을 입증하기 쉽지 않을 것이라는 전망이 나온다. 수사기관이 사건 발생 한 달이 지나도록 해커의 정체를 밝히지 못했을 정도로 해킹이 은밀하게 진행된 터라, 해킹과 SK텔레콤의 규정 위반 간의 인과관계 등을 입증하기 어려울 것이라는 분석이다. 과거 개인정보 유출 관련 손해배상 소송에서도 기업의 고의 또는 중과실이 인정돼 피해자들이 승소한 사례는 거의 없다. 2012년 7월 해커에 의해 KT 가입자 870만명의 개인정보가 유출된 사고에서도 피해자 342명이 KT를 상대로 손해배상 청구 소송을 제기했지만 패소했다. 2심은 “KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다”며 KT의 배상 책임을 인정하지 않았다. 대법원은 2018년 12월 2심 판결을 확정했다. 아울러 유심 정보 유출에 따른 2차 피해 사례가 드러나지 않은 상황에서 피해자들이 승소하더라도 위자료 액수는 미미할 가능성이 있다. 법조계 관계자는 “정신적 피해에 따른 위자료를 법원이 인정할지 의문”이라면서 “인정하더라도 위자료 액수는 적을 수밖에 없는데 소송에 소비한 시간과 비용을 감안하면 실익이 거의 없다”고 말했다. 집단 소송으로 인해 기업이 오히려 피해자들에게 선제적 보상을 하기 어려워질 수 있다는 지적도 제기된다. 기업이 승소할 가능성이 있음에도 선제적 보상에 나서면 주주 등 이해관계자들의 반발을 살 수 있고 경영진은 배임 책임까지 질 수 있기에 보상보다는 소송에서 이기는 데 주력하게 된다. 특히 SK텔레콤은 패소할 경우 1인당 50만원씩만 배상하더라도 전체 청구액은 수천억 원에 이를 수 있기에 유심 정보 유출에 따른 후속 조치보다는 법률 대응을 최우선으로 할 수밖에 없다. 업계 관계자는 “집단 소송이 제기될 경우 기업은 전사적 역량을 투입해 법률 대응에 나서게 된다”며 “해킹 원인 분석이나 보안 시스템 강화는 뒷순위로 밀려난다”고 말했다. 집단 소송으로 사회적 관심이 기업의 책임에만 쏠려 자칫 해커에 대한 수사와 보안 강화 조치는 소홀해질 수 있다는 우려도 나온다. 해킹 사건의 경우 해커를 특정하기 어렵고, 설령 찾더라도 해외에 거주할 경우 검거는 더욱 어렵다. 이러한 상황에서 수사기관들이 수사 역량을 기업에 집중할 경우 해커를 적발해 재범을 막기는 요원해진다. 이형택 한국 랜섬웨어침해대응센터장은 “해킹 사고를 당하고도 후폭풍을 우려해 신고조차 하지 않는 기업이 10곳 중 9곳에 달한다”며 “이에 해킹 사고가 반복될 수밖에 없다”고 지적했다.

SK텔레콤(SKT) 유심 정보 해킹 사태와 관련해 이용자 1000여명이 회사 측을 상대로 손해배상 청구 소송을 낼 예정이다. 김국일 법무법인 대륜 대표는 22일 서울 영등포구에 있는 법인 사무실에서 기자회견을 열고 다음주 SKT 이용자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기하겠다고 했다. 김 대표는 “개인정보 보호는 국민 신뢰의 문제이자 기업의 기본 책무이지만 SKT는 지금까지도 피해 규모나 경위에 대해 충분히 밝히지 않고 있다”고 했다. 그러면서 “이 사건은 역대 최대 규모의 유심 정보 유출 사고”라며 “장기간 해킹에 노출된 정황이 있으며, 피해자들은 유심 교체를 위해 생업을 제쳐두고 대리점을 방문하는 등 현실적인 불편을 겪었다”고 했다. 대륜에 따르면 소송 신청자는 1만명 이상이지만 서류 취합까지 완료된 이들에만 1차 소장을 접수한 뒤 2차 모집을 지속할 계획이다. 이날 대륜이 예고한 손해배상 소송은 형사 고발과는 별개다. 대륜은 지난 1일 SKT 유영상 대표이사와 보안 책임자를 업무상 배임과 위계공무집행방해 등의 혐의로 고발했다. SKT는 지난달 18일 외부 해커 공격으로 이용자들의 유심 정보가 대규모로 유출되는 사고를 당했다. 사태가 커지자 최태원 SK 그룹 회장은 지난 7일 대국민 사과를 했다. SKT는 지난 18일에는 외부 전문가들이 참여하는 ‘고객신뢰회복위원회’를 출범시켰다. 유심 해킹 피해에 따른 위약금 면제, 고객 정보보호 후속 조치 등을 논의하는 기구다.

해킹도 초기 대응이 중요 SKT 해킹, 1차 조사 때보다 더 심각두 달 넘게 해킹·피해범위 오리무중피해자 집단소송·번호 이동 위약금회사 귀책사유 입증·약관 따져봐야 보안도 필수 인프라로 정착을 생성형 AI 활용한 해킹 급증하는데 기업·사회의 보안 의식은 ‘제자리’통신·포털사 국가보안시설급 지정대량 개인정보 보유 땐 의무 투자를사이버사고 대응 정부 역할은초연결 시스템 멈추면 전체가 마비북한·중국 해커 공격 위험성도 큰데부처별 대응 체계 나뉘어져 비효율보안 총괄 ‘사이버안전청’ 설립 필요 국내 최대 통신사인 SK텔레콤(SKT)의 해킹 사건은 우리나라 역대 최악의 사이버보안 침해 사고다. 발생한 지 두 달이 넘었지만 아직도 정확한 해킹 경위와 피해 범위는 오리무중이다. 디지털보안에 대한 대응 태세를 근본적으로 재점검해야 한다는 지적이 나온다. 한국정보통신법학회장인 이성엽 고려대 기술경영전문대학원 교수를 지난 13일 만나 사이버보안 강화 방안에 대한 이야기를 들었다. 이 교수는 “점차 고도화되고 있는 해킹 사고가 급증하는데도 보안 의식이 약해 보안 투자가 제대로 이뤄지지 않고 있다”고 말했다. SKT 해킹 사건을 조사 중인 민관합동조사단의 2차 중간조사 결과가 발표된 19일 추가로 전화 인터뷰를 했다. ●SKT 해킹 ‘복제폰 피해’ 가능성은 낮아 -이번 조사 결과가 1차 발표보다 상황이 더 심각한 것 같다. “이번 2차 조사에서는 최초로 고객 단말기에 부여되는 고객단말식별정보(IMEI)가 유출됐을 가능성이 제기됐다. 다만 IMEI가 유출됐다 하더라도 비정상인증차단시스템(FDS) 등의 시스템을 통해 실제 복제폰 피해는 차단할 수 있다. 정부도 삼성·애플 등 제조사는 15자리 IMEI값 단독으로는 단말기 복제가 불가능하다는 입장이라고 설명했다.” -악성코드에 감염된 일부 서버에 담긴 이름 등 중요 개인정보의 유출 가능성도 배제할 수 없는 상황인데. “금융사고 등이 발생하려면 은행 거래 관련 공인인증서 일회용비밀번호(OTP), 개인 비밀번호까지 알아야 한다. 그럴 가능성은 희박하므로 과도하게 불안해할 필요는 없다고 본다.” -피해자들의 집단소송이 본격화되고 있다. “정보 유출로 인한 정신적 피해에 대해서는 위자료 배상이 가능하다. 단 회사의 법 위반 등 귀책사유가 입증돼야 한다. 보통 피해자가 이를 입증해야 하는데 개인정보보호법은 회사가 귀책사유 없음을 입증하도록 하고 있으므로 이 점에서는 입증이 쉬울 수 있다. 또한 징벌적 손해배상 요구도 높은데 회사의 고의나 중과실이 있는 경우 손해액의 5배까지 배상이 가능한 징벌적 손해배상이 도입돼 있다.” -다른 통신사로의 번호 이동에 대한 위약금 면제 이슈도 논란이다. “소비자 입장에서는 자신의 정보 유출에 대한 불안으로 번호 이동을 한다면 응당 위약금을 면제받아야 한다고 생각하게 마련이다. 하지만 약관을 따져 보면 법리상 위약금 면제가 가능하다는 결론을 내는 것은 쉽지 않다. 이런 이유로 정부도 4군데 로펌에서 의견을 받아 놓고도 결론을 내지 못하고 있는 것으로 보인다.” -SKT 약관 때문에 책임을 물을 수 없다는 건가. “약관상 위약금이 면제되는 ‘회사의 귀책사유로 인해 해지할 경우’란 계약의 온전한 이행을 기대할 수 없는 경우, 즉 약관에 따른 이동통신서비스 제공이 불가능하고 그 원인이 회사에게 있는 경우를 의미한다. 하지만 통신서비스가 중단되지 않았고 회사의 과실이나 법 위반이 확정되지 않은 상황이라서 위약금 면제가 어려울 수 있다는 얘기다.” -해킹 사건이 발행한 지 두 달이 넘도록 사고 원인을 찾지 못한 게 더 심각한 문제 아닌가. “2차 조사 결과에 따르면 3년 전 해킹이 시작됐고 약 2700만건의 정보가 유출된 것으로 파악된다. 다만 아직 해커가 경제적 이익을 노린 것인지, 정치적 목적인지는 알 수 없다. 민관합동조사단이 오는 6월 말쯤 최종 결과를 발표할 예정이다.” -해킹 사고로 인한 직접적인 피해는 아니지만 스미싱 피해가 우려된다는데. “이용자 혼란을 악용한 스미싱 등의 피해 발생이 우려된다. 예컨대 예약한 유심 재고가 확보됐다며 교체를 위해 개인정보를 입력하라는 스미싱 사례가 실제로 확인되고 있다. 한국소비자원에서도 해킹 사고를 악용해 소비자원을 사칭하는 스미싱·피싱에 주의를 당부하고 있다. 당분간 이러한 메시지에 주의해야 한다. 의심스러운 문자의 링크는 절대 눌러서는 안 된다.” ●기업들 정보보호 투자, IT 대비 6% 불과 -SKT는 가입자가 가장 많은데 보안 투자는 경쟁회사에 비해 적은데. “국내 기업들의 정보보호 투자 비율은 전체 정보기술(IT) 투자 대비 평균 6%에 불과하다. 미국·유럽의 평균 투자 비율(25%)에 크게 못 미치는 수준이다. SKT의 지난해 정보보호 분야 투자 금액은 본사(600억원), 자회사 SK브로드밴드(267억원) 등 총 867억원으로, 경쟁사인 KT(1218억원), LGU+(631억원)에 비해 적었다. 다량의 개인정보를 보유하고 있을 수 있는 영세업체의 경우 보안 투자 여력이 없는 만큼 정부가 기술적·경제적 지원을 할 필요가 있다.” -해킹 사건의 중대성을 감안해 정부가 나서야 하지 않을까. “산불 등 자연재해 발생 시 정부는 피해가 확산되지 않도록 안내 및 경보 문자를 보낸다. 국민 대다수가 가입한 이동통신사 해킹 사고 등도 즉시 경보를 해야 할 중요한 사안이다. 산불 피해 방지 문자처럼 사이버 침해 사고 시 국민에게 직접적으로 위험성과 대응 방안을 알리는 경보 체계를 갖출 필요가 있다.” -SKT는 6개월 전 정부의 보안인증심사(ISMS)를 받았다고 하는데. “인증 심사 기준 설정 당시보다 고도화된 사이버 침해에 제대로 대응할 수 없다는 게 문제다. 대기업은 인증 기준에 없더라도 수시로 고도화되는 해킹에 대응하는 보안 역량을 지속적으로 강화해야 한다. 이 제도가 보안 강화에 걸림돌이 되는 측면도 있다. 또한 통신업에 특화된 정보보호 체계를 고도화할 필요가 있다.” -최근 생성형 인공지능(AI)이 사이버 범죄에 악용되고 있는데. “생성형 AI의 출현으로 비전문가에 의한 사이버 공격도 훨씬 쉬워졌다. 챗GPT를 활용해 악성 도구를 개발하는 사례가 확인되고 있다. 생성형 AI가 자연스러운 언어 능력을 가지면서 피싱 메일이 증가할 수 있다. 또 생성형 AI는 코딩 능력이 우수한 것으로 알려져 있다. 전문 지식이 부족한 공격자도 랜섬웨어 같은 악성코드 생성, 웹페이지 공격 수단 검색, 취약점 분석, 공격 스크립트 생성 등을 통해 해킹 공격을 할 수 있다.” -반대로 생성형 AI로 사이버보안 대응력을 키울 수 있지 않을까. “AI 기반 보안 관제 등 AI 기술을 이용해 사이버보안을 강화할 수 있다. 사람이 하루에 수백만건에 달하는 보안 위협을 분석하는 것은 불가능한데, AI는 보안 사고로 이어질 가능성이 큰 위협 요인을 찾아내 위협 원인과 추후 공격 양상, 그리고 잠재적인 공격자 등을 식별하는 데 이용될 수 있다.” -우리 사회의 보안 의식이 약한 것 같다. “사이버보안에 안전지대는 없다. 이번 SKT의 정보 유출 같은 사고뿐만 아니라 스미싱, 가족·친구와 똑같은 목소리로 속이는 딥보이스피싱 등이 날로 진화하고 있다. 해커들은 경제적 이익 등을 목적으로 생성형 AI 등을 활용해 보안 방어 체계를 뚫으려고 전력투구하는데 우리 기업에서는 보안을 비용으로만 보고 투자하지 않으려고 한다. 사이버보안이 기업과 사회 전반에 내재된 필수적인 인프라·문화로 정착돼야 한다.” ●인터넷 강국, 스미싱 등 위협에 더 노출 -보안 사고는 이제 개인을 넘어 사회를 위협하는 단계에 왔다. “디지털 사회는 네트워크와 통신, 사이버 공간에 기반한 초연결 구조 위에 작동하는데 이 시스템이 멈추는 순간 사회 시스템 전반이 마비될 수 있다. 통신사, 포털사, 전력·에너지 기업 등은 국가보안시설에 준하는 보안관리 체계(주요 정보통신기반 보호시설)로 지정할 필요가 있다. 또한 대량의 개인정보를 보유한 대기업에 대해서는 전체 IT투자 대비 정보보호 투자액의 하한선을 가이드로 마련할 필요도 있다.” -정부의 사이버 사고 대응 체계는. “국정원과 행정안전부가 공공부분 사이버보안, 과학기술정보통신부가 민간부분 사이버보안, 개인정보보호위원회가 공공·민간 해킹으로 인한 개인정보 유출 시 조사·제재, 경찰이 사이버 범죄 수사 등을 담당하고 있다.” -여러 부처로 나뉘어 있는 대응 체계의 문제점은 없나. “다층적인 시스템으로 인해 비효율적인 중복 조사·수사, 인력의 전문성 부족, 상시적인 보안·안전 정책 부족 문제가 발생하고 있다. 사이버보안 이슈의 컨트롤타워 역할을 하는 정부 조직이 필요하다. 차기 정부는 ‘사이버안전청’(가칭)을 설립해 사이버보안 기술·정책 개발, 사이버 침해 및 개인정보 유출 조사·제재를 총괄하는 전문기관 역할을 맡겼으면 한다.” -사이버보안을 담당하는 정부 조직까지 필요한 이유는. “우리나라는 인터넷 강국으로, 다른 나라보다 초연결 네트워크 사회다. 스미싱, 딥보이스 등의 위협에 더 노출돼 있다. 특히 북한과 중국의 해커 공격을 받을 수 있다. 안보 차원에서도 이런 취약성을 강화해야 한다.” ■ 이성엽 교수는 고려대 법학과, 서울대 행정대학원, 미국 미네소타대 로스쿨을 졸업한 후 미국 변호사 자격을 취득했고, 서울대에서 법학 박사학위를 받았다. 제35회 행정고시 출신으로 정보통신부, 김앤장 등 민관분야에서 두루 경험을 쌓아 현장과 실무도 밝다. 한국정보통신법학회장, 한국데이터법정책학회장을 맡고 있고 국가데이터정책위원, 개인정보위 규제심사위원장으로 활동하는 ICT 분야 권위자이다. 최광숙 대기자

SK텔레콤 유심 해킹 사태와 관련해 이용자 9000여명이 총 46억원 규모의 손해배상 청구 소송을 공동으로 제기했다. 로피드법률사무소 하희봉 변호사는 16일 SK텔레콤 이용자 9175명을 대리해 1인당 50만원의 위자료를 지급하라는 손해배상 청구 소장을 제출했다. 공동소송의 전체 청구 액수는 46억원 규모이며, 이번 소송은 1차 소송이다. 하 변호사는 이날 서울 서초구 법원종합청사 정문에서 기자회견을 열고 “피해자들은 단순한 개인정보 유출을 넘어 유심 복제라는 현실적인 공포와 극심한 불안감에 시달리고 있다”며 “유심을 교체해야 하는 불편은 물론, 일부 금융 서비스 이용 제한 등 일상생활에서도 큰 지장을 겪고 있다”고 주장했다. 이어 “이번 소송은 SK텔레콤이 정보통신서비스 제공자로서 마땅히 지켜야 할 개인정보 보호조치 의무와 침해사고 발생 시 신속한 신고 의무를 명백히 위반해 발생한 예견된 인재임을 밝히고자 하는 것”이라고 강조했다. 로피드법률사무소는 SK텔레콤에 ▲정보보호 의무 및 신고 의무 위반 등 명백한 과실 인정 ▲모든 피해자에 진심으로 사죄 ▲유출 정보의 정확한 내용과 범위 공개 및 유심 비밀키(K) 유출 여부 공개 ▲2차 피해 방지 조치 등을 요구했다. 또 정부 당국에도 “SK텔레콤에 엄중한 책임을 묻는 한편, 통신사 핵심 서버의 국가적 관리·감독 강화 등 실질적인 제도 개선에 즉각 착수하라”고 촉구했다.

더불어민주당 중앙선거대책위원회 청년본부 대변인으로 활동 중인 서울시의회 박수빈 의원(강북구 제4선거구)은 지난 9일 논평을 통해 SKT의 안일한 개인정보 보호 의식과 부실한 사후 대응을 강도 높게 비판하며, “무엇보다 국민들이 입은 피해에 대해 제대로 된 보상부터 하는 것이 중요하다”고 주장했다. 앞서 SKT 유영상 대표는 8일 국회 청문회에 출석해 “위약금을 면제할 경우 3년간 7조원의 손실이 발생할 것”이라며 회사 존립을 우려했다. 그러나 한국인터넷진흥원(KISA) 자료에 따르면 SKT는 2024년 정보보호에 쓴 비용은 약 600억원으로 KT(1,218억원)의 절반에도 미치지 못한 것으로 드러났다. 특히 국내 이동통신 3사 가운데 유일하게 SKT만이 유심 핵심정보인 인증키를 암호화하지 않았다는 점이 밝혀지며, 국민 절반에 가까운 개인정보가 최소한의 보호장치도 없이 관리되고 있었다는 사실이 확인됐다. 이에 박 의원은 “당연히 해야 할 개인정보 보호 투자에는 인색하면서 위약금 면제 시 발생할 손실만 걱정하는 SKT의 이중적 태도는 대단히 통탄스럽다”면서 “회사의 손실보다 국민의 피해를 먼저 걱정해야 하지 않냐”고 일침을 가했다. 이어 박 의원은 “휴대전화는 국민 한 사람 삶 그 자체”이라며 “방송통신위원회에 따르면 주 5일 이상 스마트폰을 사용하는 국민 비율은 92.2%에 달하고, 특히 청년세대(10~30대)의 90% 이상은 스마트폰을 필수 매체로 인식하고 있는 만큼 개인정보 유출로 인한 피해는 매우 심각하다”고 지적했다. 그는 “국민들은 지금도 스팸 범죄와 각종 불안 속에 살아가고 있다”고 경고했다. 끝으로 박 의원은 SKT가 ‘보상보다 신뢰 회복이 먼저’라고 밝힌 데 대해 “순서가 완전히 틀렸다”며 “신뢰 회복은 제대로 된 피해 보상이 선행되어야만 가능한 일”이라고 반박하며 “SKT는 더 이상 손실 타령하지 말고, 국민이 겪은 실질적 피해에 대해 책임 있게 보상하라”고 강하게 촉구했다. 다음은 논평 전문 <SKT, 위약금 면제를 넘어 피해보상부터 해야 합니다> “뭣이 중헌디?” SKT는 국민의 피해에 대한 보상을 우선해야 합니다. 총수가 고개 한 번 숙이면 국민이 겪은 피해와 불안이 없던 일이 됩니까? SKT 유영상 대표는 지난 8일 국회 청문회에 나와 피해에 대해 책임지겠다고 했지만, 위약금을 면제할 경우 3년간 7조원의 손실이 발생할 것이라며 회사 존립을 걱정했습니다. 한편, 한국인터넷진흥원에 따르면 SKT가 24년 정보보호에 쓴 비용은 약 600억원입니다. 이는 KT는 1,218억원의 절반이 안되고, 규모가 훨씬 작은 LG유플러스의 632억원보다도 적습니다. 심지어는 국내 이동통신 3사 가운데 유일하게 SKT만 유심 핵심정보인 인증키를 암호화하지 않았다고 합니다. 국민 거의 절반의 개인정보가 최소한의 보호장치도 없이 관리되고 있었던 겁니다. 제 할 일에 제대로 비용을 쓰지도 않은 회사가 한 입으로 두말을 하고 있는 현실이 통탄스럽습니다. 휴대전화는 국민 한 사람 삶 그 자체입니다. 방송통신위원회에 따르면 지난해 방송매체 이용행태조사 결과 국민의 주 5일 이상 스마트폰 이용비율은 92.2%로, 같은 기간 TV 이용율인 71.4%보다도 높게 조사되었습니다. 같은 조사에서 10~30대 청년세대의 약 90% 이상이 스마트폰을 필수 매체로 인식하고 있다고 했고, 윗세대에서도 영향력이 점차 더 확장되고 있음을 확인했습니다. 대한민국 국민 매일매일의 삶이 휴대전화와 연결되어 있다는 뜻입니다. 시민들의 개인정보유출피해는 지금 이 시간에도 지속되고 있습니다. 시민 불안을 악용한 스팸범죄도 기승을 부리고 있습니다. 시민들은 통신사 대리점 앞에서 번호표를 뽑아 줄을 서고, 정보접근성이 부족한 사람들은 어찌할 바를 몰라 발만 동동 구릅니다. 부모님께 해킹방지 안심앱을 깔아드리는 일은 자녀세대의 필수효도덕목이 되었습니다. SKT는 고객 보호와 신뢰 회복 후에 보상과 배상을 논의하겠다 했지만 선후가 틀렸습니다. 전 국민이 범죄 노출을 우려하고 불안해하고 있습니다. 제대로 된 피해보상을 혼선없이 하는 일이 선행되어야 신뢰를 회복할 수 있습니다. 부디 무엇이 중요한지 바로 알기 바랍니다. 2025년 5월 9일 진짜 대한민국 중앙선대위 청년본부

유심 해킹 사태로 SK텔레콤 해지 위약금을 면제해 달라는 가입자들의 요구가 속출하는 가운데 정부가 면제 여부를 6월 말쯤 결정할 거라고 밝혔다. 유상임 과학기술정보통신부 장관은 6일 정부서울청사에서 열린 월례 브리핑에서 SKT 해킹과 관련한 위약금 면제에 대해 “로펌에 의뢰한 검토 결과를 요약해 보고 받았지만, 아직 명확하지 않다. 민관 합동 조사단의 결과를 봐야 판단할 수 있다”고 말했다. 그러면서 “지난달 말 활동을 시작한 민간 합동 조사단이 최대 2개월간 조사를 거쳐 6월 말쯤 결과를 낼 것으로 보인다”고 밝혔다. SKT가 위약금 면제와 별도로 가입자 피해에 대해 배상해야 한다는 의견에 대해서는 “SKT가 결정할 문제지만 고객의 정신적 피해를 보상한다는 측면에서 일정 부분 생각하지 않을까 한다”고 말했다. 가입자 식별번호(IMEI) 유출이 없었다는 요지의 1차 조사 결과 발표에 이어 현재 진행 중인 SKT 서버 전수 조사와 관련해 유 장관은 “국민에 공유할 필요가 있다고 보이는 부분에 대해선 중간 발표하겠다”고 말했다. 이어 “국민의 불안감이 크다는 것을 엄중히 인식하고 있다”면서 “국민 눈높이에 맞는 사태 해결에 전력을 다하겠다”고 약속했다. 유 장관은 SK텔레콤에 신규 가입자 모집을 중단하라고 한 행정지도를 언제까지 유지할지에 대해 “유심 수급 현황 등을 토대로 최소한 한 두 달 정도 뒤면 해제할 수 있는 여건이 되지 않겠느냐”고 설명했다. 이어 “혹시 모를 2차 피해 방지를 위해 피싱 사이트를 신속하게 차단하고 모니터링을 강화하고 있다. 경찰청과도 정보를 공유해 단속을 강화하고 있다”면서 “대선 국면에서 공공, 국방, 민간에서 이런 침해 사고가 일어나면 큰 혼란을 줄 것이기 때문에 범국가적인 사이버 보안 예방이 필요한 시점이라고 판단한다”고 덧붙였다. 과기정통부는 “SK텔레콤 해킹 이후 민간 기업 6000여곳과 정부 부처에 SKT 서버에서 발견된 악성코드 정보를 공유하고 긴급 보안 점검을 요청하는 등 후속 조치를 했다”고 밝혔다.

SK텔레콤이 이번 해킹 사고와 관련해 열린 국회 청문회에서 위약금 일괄 면제를 할 수 없는 사유로 막대한 손실을 들었다. 회사는 위약금에 들어갈 금액은 2500억원 정도지만 가입자 유출로 인해 향후 3년간 7조원의 손실이 발생할 수 있을 것으로 내다봤다. 8일 국회 과학기술정보방송통신위원회에 증인으로 출석한 유영상 SK텔레콤 대표이사(CEO)는 “해킹 사태 이후 약 25만명 정도가 이탈했다”면서 “향후 지금의 10배가 넘는 250만명 이상이 이탈할 것으로 예상된다”고 밝혔다. 1인당 평균 10만원의 위약금이 발생한다고 하면 2500억원의 위약금이 면제되는 셈이다. SK텔레콤의 올 1분기 영업이익 전망치가 5590억원이라는 점을 감안하면 위약금 면제 규모가 그리 크지 않은 게 아니냐는 질의에 유 대표는 “(위약금 면제 시) 최대 500만명까지 이탈할 수 있다고 생각하고 있다”면서 “이 경우 위약금은 물론 이탈에 따른 매출 감소로 향후 3년간 최대 7조원 이상의 손실이 예상된다”고 했다. 고객의 신뢰 회복보다 회사의 손실이나 존립에만 집중하고 있다는 비판이 제기되자 유 대표는 “(위약금 면제는) 파장이 아주 큰 부분이 있어 결정에 어려움이 있다”는 입장을 거듭 강조했다. 유상임 과학기술정보통신부 장관은 “사업자에게 상당히 심각한 피해가 될 수 있기에 쉽게 결정할 사유가 아니다”라며 “결단을 내릴 수 있는 충분한 자료가 취합된 후 결정하겠다”고 밝혔다. SK텔레콤은 고객 보호와 신뢰 회복 후에 보상과 배상을 논의하겠다는 입장이다. 유 대표는 “고객신뢰회복위원회를 조속히 설치해서 위약금 문제를 포함해 전체적인 고객 신뢰 회복 문제를 다루겠다”고 답변했다. 또 이 위원회에서 배상액 산정 등 손해배상 관련 논의와 해킹과 피해의 관련성 등을 판단하겠다고 덧붙였다.

이용자 피해 보상 방안 마련 촉구전 고객 유심 보호 계획서도 요구 SK텔레콤의 유심(USIM·가입자 식별 모듈) 정보 유출 사고로 유심 교체 수요가 급증하면서 이른바 ‘유심 대란’이 벌어지자 정부가 유심 부족이 해소될 때까지 신규 가입을 중단하라고 1일 행정지도 했다. 과학기술정보통신부는 이날 SK텔레콤에 공문을 보내 보다 강도 높은 조치를 즉각 시행할 것을 요구했다. 일부 대리점이 ‘교체용 유심은 없다’면서도 신규 가입자용 유심을 별도로 관리하고 있다는 지적이 제기되자 정부가 직접 칼을 빼 든 것이다. SK텔레콤이 이달까지 확보하기로 한 유심은 600만개로, 전체 가입자 수인 2500만명에 턱없이 부족한 수준이다. 과기정통부는 또 SK텔레콤이 위약금 면제, 손해배상, 피해보상 시 증명책임 완화 등 소비자단체의 요구를 적극 검토하고 구체적인 이용자 피해 보상안을 마련해 이행할 것도 촉구했다. 이와 함께 해킹 피해 발생 시 100% 보상 책임을 지는 방안, 모든 고객에게 유심 보호 서비스를 일괄 적용하는 방안 등에 대한 이행 계획서 제출을 요구했다. 이달 초 ‘황금연휴’에 출국하는 SK텔레콤 고객들이 공항에서 유심 교체를 위해 장시간 대기하는 일이 없도록 현장 지원 인력을 대폭 확대할 것도 요구했다. 해외 로밍을 이용하면 유심 보호 서비스가 적용되지 않아 출국 전 유심 교체가 필수다. 이번 조치는 ‘행정절차법’에 따른 ‘행정지도’ 형태의 권고 조치다. 과기정통부는 해킹 사태로 국민 불안이 확대되고 2차 피해 가능성까지 제기되는 상황에서 공식적인 대응 필요성이 커졌다고 판단해 이렇게 조치했다고 밝혔다. 다만 행정지도는 법적 구속력이 없어 SK텔레콤이 이행하지 않아도 행정처분 등 불이익은 없다.