SK텔레콤이 개인정보 유출 사고와 관련해 1인당 10만원 상당을 지급하라는 한국소비자원 소비자분쟁조정위원회의 조정안을 받아들이지 않겠다는 입장을 밝혔다. 30일 업계에 따르면 SK텔레콤은 소비자원 분쟁조정위 조정안을 수용하지 않는다는 입장을 소비자원에 제출했다. 이에 따라 조정안은 ‘불성립’으로 종결되며, 신청인은 법원에 별도의 민사소송을 제기해 절차를 이어가야 한다. SK텔레콤은 “분쟁조정위 결정을 심도 있게 검토했으나 자발적 보상 노력과 보안 강화 조치를 선제적으로 이행한 점, 조정안 수용 시 미칠 파급효과가 매우 큰 점을 고려했다”고 말했다. 이어 “조정안 수용이 어려울 수밖에 없음을 양해해 주길 바라고, 향후 고객 신뢰 회복과 추가 피해 예방을 위한 조치를 지속해 강화하겠다”고 덧붙였다. 앞서 소비자위는 SK텔레콤의 개인정보 유출로 소비자 피해가 발생한 사실이 인정된다며 조정 신청인 58명에게 1인당 통신요금 5만원 할인과 제휴사에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트 지급을 결정했다. 조정안을 수락할 경우 조정에 참여하지 않은 다른 피해자에게도 동일한 보상이 이뤄져 전체 보상 규모는 약 2조 3000억원에 달할 것으로 추산됐다.

SK텔레콤이 고객신뢰위원회와 서울 중구 T타워에서 올해 첫 정기 간담회를 개최했다고 21일 밝혔다. 이날 간담회에는 정재헌 SK텔레콤 최고경영자(CEO)와 한명진 이동통신(MNO) 사내회사(CIC)장, 이혜연 고객가치혁신실장 등 주요 임원진과 안완기 고객신뢰위원장이 참석해 신뢰 회복 강화를 위한 방안을 논의했다. 지난해 유심 해킹 사고를 계기로 출범한 고객신뢰위원회는 이날 12번째 정기 회의를 열고 소비자 보호, 고객 커뮤니케이션, 사회적 책임 강화, 소비자·인사이트 분과로 나눠 활동 계획을 알렸다. 위원회의 각 분과는 인지심리학 관점에서 고객과의 소통 방식을 자문하거나, 신뢰 회복 활동의 사회적 책임과 실효성 확보를 위한 사항을 점검할 예정이다. 또 고객가치혁신실과 연계해 SK텔레콤 차원에서 ‘원팀’으로 고객과 직접 소통할 기회를 마련할 계획이다. 지난해 다양한 연령대와 직업을 가진 고객들로 구성한 고객 자문단의 역할도 확대한다. 이들은 SK텔레콤이 선언한 ‘고객 중심 경영’의 전반적인 과정에 참여해 고객 입장을 대변하게 된다. 고객 자문단은 이 SK텔레콤의 신뢰 회복 활동에 참여한다. 또 상품·서비스의 기획 단계부터 참여해 사후 점검까지 함께 논의하게 된다.

약 2300만여명의 가입자 개인정보 유출로 역대 최대 규모의 과징금이 나온 SK텔레콤이 처분에 불복하고 행정소송을 제기했다. 19일 업계에 따르면 SK텔레콤은 이날 오후 개인정보보호위원회의 과징금 부과 처분을 취소해달라는 소송을 서울행정법원에 냈다. 앞서 개인정보위는 지난해 8월 SK텔레콤 해킹 사고를 조사한 결과 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보가 유출됐다고 발표했다. 개인정보위는 보안 조치 미흡 등의 책임을 물어 위원회 출범 이후 최대 규모인 1347억 9100만원의 과징금을 SK텔레콤에 부과했다. 2022년 구글·메타가 받은 과징금 1000억원을 크게 웃도는 규모다. SK텔레콤은 소송에서 해킹 사고 이후 보상안과 정보보호 혁신안 마련에 총 1조 2000억원을 투입한 점, 유출로 인한 금융 피해가 실제로는 없었던 점 등이 고려돼야 한다는 입장인 것으로 전해졌다. 또 고의적·영리 목적의 개인정보 활용이 인정된 구글·메타 사례와의 형평성 문제도 제기할 것으로 보인다. SK텔레콤은 행정소송법상 취소 소송 제기 기한 마지막 날인 오는 20일을 하루 앞두고 취소 소송을 냈다. SK텔레콤은 “개인정보위의 과징금 처분에 대해 법원의 면밀한 판단을 받아보고자 한다”고 밝혔다

서버 94대·악성코드 103종 감염문자·통화 내용까지 유출될 위험정부, 전 이용자 위약금 면제 요구KT, 오늘 고객 보상안 논의 예정‘서버 폐기 정황’ LGU+ 경찰 수사 정부가 지난 9월 공개된 KT 해킹 사건의 최종 조사 결과를 29일 발표하며 전 이용자를 대상으로 중도 해지 위약금을 전액 면제하라고 요구했다. KT는 “고객 보상안을 조속히 발표하겠다”고 밝혔다. 과학기술정보통신부가 이날 발표한 ‘KT 침해 사고 최종 조사 결과’에 따르면 KT 서버 3만 3000대를 점검한 결과 서버 94대가 BPF도어, 루트킷, 분산 서비스 거부(디도스) 공격형 코드 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 역대급 통신사 해킹 사건이 일어났다던 SK텔레콤은 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인됐다. SKT보다 KT의 감염 범위가 더 광범위했던 것이다. 다만 개인정보 유출 규모 측면에선 SKT 2300만명, KT 2만 2000여명으로 SKT가 압도적으로 컸다. 서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호가 유출된 이용자는 2만 2227명, 무단 소액결제 피해자는 368명, 피해액은 2억 4300만원으로 중간 조사 결과와 같았다. 민관합동조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 결제 인증 정보가 탈취된 사실을 파악하는 한편 이용자의 문자메시지와 통화 내용까지 빼내는 것이 가능하다는 점을 확인했다. 조사단은 “KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다”면서 “인증 서버 IP의 주기적 변경과 대외비 관리 등 보안 관리 개선책을 마련하라”고 요구했다. 과기정통부는 문자메시지와 음성 통화가 제삼자에게 새 나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 아닌 전체 이용자에 해당한다고 판단하고, KT 측에 모든 이용자를 대상으로 위약금을 면제할 것을 주문했다. KT는 30일 이사회를 열고 위약금 면제 범위와 고객 보상안을 논의해 발표할 예정이다. 한편 LG유플러스는 허위 자료 제출과 서버 폐기 정황이 드러나 경찰 수사를 받게 됐다. 조사단은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 유출된 것을 확인했으나, 익명 제보자가 제공한 자료와 회사가 제출한 자료가 서로 달랐다. 여기에 서버 운영체계(OS)를 폐기한 정황까지 드러나 조사단은 LG유플러스를 공무집행방해 혐의로 경찰에 수사를 의뢰했다.

홍국표 의원(국민의힘·도봉2)은 지난 23일 제333회 서울시의회 정례회 제5차 본회의 5분 자유발언을 통해 “학생과 학부모의 개인정보 유출이 심각한 수준”이라며 “교육청 차원의 보안 및 대응 역량 강화가 시급하다”고 촉구했다. 홍 의원은 “지난 9월 국회 김민전 의원실이 교육부로부터 확보한 자료에 따르면, 2022년부터 올해까지 대학과 교육청에서 유출된 개인정보가 573만 건에 달하며, 교육청만 315만건”이라고 밝혔다. 구체적으로 2022년 10월부터 2023년 2월까지 경기교육청에서는 27만명의 성적표가 10대 해커에게 유출된 바 있고, 인천시교육청은 2023년 12월 11만명의 정보가 해외 IP로부터 무단 접속당한 후에 한 달이 지나서야 신고된 바 있다. 서울시교육청 역시 작년 8월 고교학점제 수강신청 시스템에서 599건의 학생 개인정보가 유출된 바 있다. 홍 의원은 “지난 5년간 서울시교육청의 경우 399건의 해킹사례가 있었는데, 이 중 악성코드 감염이 전체 침해의 84%를 차지한다”며 “교육청 보안 시스템이 강력해도 일선 학교의 보안의식이 취약하면 무용지물”이라고 지적했다. 이어 “인천시교육청의 늑장 신고 같은 일이 서울에서는 절대 재발해서는 안 된다”고 강조했다. 아울러 “애초에 불필요한 정보를 수집하지 않는 것이 근본 대책”이라며 “AI 디지털 교과서 등 개인정보 활용만 강조하고 보호를 소홀히 해서는 안 된다”고 덧붙였다. 홍 의원은 “최근 쿠팡, SKT 등 개인정보 유출이 일상화되고 있다”며 “유출된 정보가 다크웹에서 거래되고, AI 음성으로 자녀 납치를 사칭하는 등 2차 피해가 심각하다”고 우려했다. 그러면서 “오늘의 유출이 내일의 범죄로 이어지지 않도록 일선 학교 보안의식 제고, 악성코드 대책, 매뉴얼 준수, 개인정보 최소 수집 원칙을 철저히 이행해야 한다”고 강조했다. 끝으로 홍 의원은 “정근식 교육감께서 이 문제에 각별한 관심을 갖고 실효성 있는 대비책을 마련해 주실 것”을 촉구하며 “학생과 학부모의 개인정보 보호는 더 이상 미룰 수 없는 과제”라고 강조했다.

‘패스 앱’ 안면 인증 통해 본인 확인“성형 수술한 사람은 어쩌나” 걱정도일부 대리점 얼굴 인식 안 돼 발동동과기부 “생체정보는 보관·저장 안 해” “SK텔레콤 유심 해킹에, 쿠팡 개인정보 유출까지…. 개인정보가 줄줄 새는 마당에 얼굴 인증까지 했다가 국민 얼굴 다 털리는 거 아닌가요.” 새 휴대전화 개통을 고민 중인 30대 직장인 A씨는 정부가 도입을 추진하는 ‘안면 인증 제도’를 두고 이렇게 말했다. 40대 공무원 B씨는 “개인 스마트폰에도 ‘페이스 아이디’를 사용하지 않는데 얼굴 인증을 해야 휴대전화 개통을 해 준다는 게 너무 찜찜하다”며 불안해 했다. 과학기술정보통신부는 23일부터 3개월간 ‘안면 인증제’ 시범 운영에 나섰다. 공식 도입은 내년 3월 23일부터다. 신분증 확인에 실제 얼굴 인증을 추가해 ‘대포폰’ 개통을 막겠다는 취지다. 이에 따라 이날부터 SKT·KT·LG유플러스 등 이동통신 3사에서 휴대전화를 새로 개통하려면 모바일 인증 플랫폼 ‘패스(PASS)’ 앱을 통해 얼굴 인증 절차를 거쳐야 한다. 그런데 소비자의 시선은 곱지 않다. 정보 유출에 대한 공포가 전 국민을 덮친 상황에서 추진되는 ‘정보수집’이어서다. 앞서 지난 9월 롯데카드와 KT, 11월에는 쿠팡의 대규모 개인정보 유출 사고가 연이어 발생했다. 20대 직장인 C씨는 “얼굴 인증을 도입했을 때 대포폰 개통이 실제로 줄어든다는 근거 없이는 못 믿을 것 같다”고 했다. 불편을 걱정하는 목소리도 나온다. 성형수술을 했거나 고령자·화상 환자처럼 신분증 사진과 현재 얼굴이 많이 다른 사람은 얼굴 인증 자체가 어려울 수 있어서다. 실제 이날 서울 곳곳의 통신사 대리점에선 얼굴 인증이 제대로 되지 않아 고객의 불만이 터져나왔다. 서울 노원구의 한 통신사 대리점 관계자는 “얼굴 인식이 제대로 안 돼 그냥 인증 절차 없이 개통했다”면서 “얼굴 미인식 문제가 제대로 개선되지 않으면 혼란이 불가피할 것 같다”고 말했다. 정부가 국민의 얼굴 정보를 대규모로 활용한다는 점에서 ‘얼굴 인증제’가 중국의 ‘빅브라더’ 감시 시스템 ‘천망(天網)’을 연상케 한다는 반응도 나온다. 30대 직장인 D씨는 “범죄 예방 조치라고 해도 국민의 사적인 부분까지 들여다보고 통제하는 느낌이 든다”고 했다. 정부는 과도한 해석이라고 선을 그었다. 과기정통부 관계자는 “얼굴 인증은 이용자가 제시한 신분증 사진과 실제 얼굴을 실시간으로 대조하는 방식”이라면서 “본인 확인이 되면 결과값만 저장하고, 인증에 사용된 생체 정보는 별도로 보관하거나 저장하지 않는다”고 밝혔다.

한국소비자원 소비자분쟁조정위원회가 SK텔레콤에 개인정보 유출 사고와 관련해 1인당 10만원 상당을 보상하라는 조정안을 내놨다. 총 2조 3000억원으로 추산되는 보상안에 대해 SK텔레콤은 향후 15일간 수용 여부를 결정할 수 있는데, 일단 ‘신중히 검토하겠다’는 입장을 보였다. 조정위는 21일 “7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 “소비자 개인의 피해 회복을 위해 SK텔레콤에 보상 책임이 있음을 확인했다”고 밝혔다. 이어 조정위는 지난 18일 집단분쟁조정회의를 통해 개인정보 유출 사고 피해자들에게 1인당 5만원의 통신요금 할인과 ‘티플러스포인트’ 5만 포인트를 지급하는 내용의 조정안을 결정했다고 설명했다. 티플러스포인트는 SK텔레콤의 제휴 업체에서 현금처럼 사용할 수 있는 포인트여서, 1인당 10만원 상당의 보상안을 내놓은 셈이다. 이에 대해 SK텔레콤은 “조정위의 조정안 내용을 면밀히 검토한 후 신중히 결정할 것”이라며 조정안 수용 여부를 숙고하겠다는 공식 입장을 내놨다. 다만 SK텔레콤은 아직 조정 결정서를 공식적으로 전달받지는 않은 것으로 알려졌다. 지난 5월 SK텔레콤 이용자 58명은 ‘홈 가입자 서버’ 해킹 사고로 개인정보가 유출되는 피해를 입었다며 한국소비자원에 피해 보상 및 재발 방지를 요구하는 집단분쟁조정을 신청했다. 조정위가 결정서를 양측에 공식 통지한 후 15일 기한 내에 별도 의사 표시가 없으면 조정안을 수락한 것으로 취급하고 재판상 화해의 효력이 발생한다. 조정위는 이 경우 조정을 신청하지 않은 피해자들도 같은 보상을 받을 수 있도록 관련 절차를 진행하겠다는 입장이다. SK텔레콤의 해킹 사고 피해자가 약 2300만명에 달한다는 점을 감안하고 1인당 10만원씩 계산하면 보상 규모는 2조 3000억원에 이를 것으로 추산된다. 이는 올해 1~3분기 SK텔레콤 매출액(12조 771억원)의 19%, 영업이익(953억원)의 24배에 달하는 규모다. 다만 조정위는 SK텔레콤이 지난 8월 선제적으로 제공한 고객감사패키지의 50% 요금 할인은 보상안에서 공제하기로 했다. 예를 들어 피해 고객이 8월 4만원의 요금 할인을 받았다면 SK텔레콤은 해당 고객에게 나머지 1만원의 보상액과 5만원 상당의 티플러스포인트만 추가 지급하면 된다. 이를 반영하면 SK텔레콤이 실제로 추가 부담해야 할 보상액은 약 1조 8000억원 규모로 추산된다. 이는 지난해 SK텔레콤의 영업이익(1조 8234억원)과 맞먹는 규모다. 그러나 업계에서는 SK텔레콤이 비용 부담으로 인해 해당 조정안을 수용하기 어려울 것으로 보고 있다. SK텔레콤은 이번 해킹 사태와 관련해 이미 1조원 이상을 고객 보상 및 정보보호 투자 비용으로 지출했고 개인정보보호위원회로부터 역대 최고 규모인 1348억원의 과징금을 부과받은 상태다. 앞서 개인정보위 산하 분쟁조정위원회가 피해자들에게 30만원씩 배상하라고 결정한 조정안에 대해서도 SK텔레콤은 “사고 이후 회사가 취한 선제적 보상 및 재발방지 조치가 조정안에 충분히 반영되지 않았다”며 불수용한 바 있다. 또 연말까지 위약금 면제 조치를 연장하라는 방송통신위원회 통신분쟁조정위원회의 직권 조정 역시 수용하지 않았다. SK텔레콤이 조정안을 받아들이지 않는다면 피해자들은 민사소송 등을 통해 분쟁 절차로 넘어가야 한다. 그간 관련 재판 결과는 상이했다. 해킹으로 1080만명의 명의가 유출돼 2008년 소비자원 분쟁조정위가 5만~10만원을 배상하라고 했지만 조정이 무산됐던 옥션 사건의 경우, 2015년 대법원은 합리적 수준에서 기업이 개인정보 보호 조처를 시행했다며 소비자 배상 책임이 없다고 판단했다. 반면 법원은 2016년 전산망 해킹으로 1030만명의 회원 개인정보가 유출된 인터파크 사안에 대해서는 소송을 제기한 2400여명에게 1인당 10만원씩 배상 판결을 내렸다.

한국소비자원 소비자분쟁조정위원회가 지난 4월 개인정보 유출 사고를 빚은 SK텔레콤에 피해자 1인당 10만원 상당을 지급하라고 결정했다. 이에 대해 SK텔레콤은 21일 “내용을 면밀히 검토한 뒤 신중히 결정하겠다”고 밝혔다. 소비자위는 지난 18일 집단분쟁조정회의를 열고 “지난 7월 민관합동조사단의 조사 결과와 8월 개인정보보호위원회의 처분 내용 등을 볼 때 SK텔레콤 해킹 사고로 개인정보가 유출돼 소비자 피해가 발생한 사실이 인정된다”며 SK텔레콤에 보상 책임이 있음을 확인했다. 이어 각 신청인에게 1인당 5만원의 통신요금 할인과 제휴 업체에서 현금처럼 사용할 수 있는 티플러스포인트 5만 포인트를 지급하도록 했다. 이는 지난 5월 소비자 58명이 해킹 사고로 개인정보 유출 피해를 봤다며 피해 보상과 재발 방지를 요구하는 집단분쟁조정을 신청한 데 따른 것이다. 위원회는 SK텔레콤이 조정 결정을 수락하면 조정 절차에 참여하지 않은 피해자에게도 동일한 보상이 이뤄질 수 있도록 보상계획서 제출을 포함한 관련 절차를 진행하기로 했다. 이럴 경우 해킹 사고 피해자가 2300만명에 달해 보상 규모는 총 2조 3000억원에 이를 것으로 예상된다. SK텔레콤은 조정 결정서를 받은 날로부터 15일 이내에 수락 여부를 위원회에 통보해야 한다. 이와 관련 SK텔레콤 안팎에서는 막대한 비용 부담을 고려할 때 조정안을 수락하기 어려울 것이라는 전망이 나온다. SK텔레콤은 이번 해킹 사태로 이미 1조원 이상을 고객 보상과 정보보호 투자에 지출했고 개인정보보호위원회로부터 1348억원의 과징금도 부과받았다. 올해 실적도 급감했다. 지난 3분기 SK텔레콤 영업이익은 484억원으로 지난해 같은 기간보다 90.9% 감소했다. 매출은 3조 9781억원으로 전년 동기 대비 12.2% 감소했다. 앞서 SK텔레콤은 개인정보보호위원회로부터 1인당 30만원의 배상 결정을 받았지만 수락하지 않았다. 또 연말까지 위약금 면제 조치를 연장하고, 결합상품 가입자에게 위약금을 절반 수준으로 보상하라는 방송통신위원회의 직권 조정 역시 받아들이지 않았다.

SK텔레콤 개인정보 유출 사고 피해자들이 1인당 10만원씩 보상받게 됐다. SK텔레콤이 조정안을 수락해 전체 피해자 약 2300만명에게 보상이 확대될 경우 보상 규모는 최대 2조 3000억원에 달할 것으로 예상된다. 한국소비자원 소비자분쟁조정위원회는 지난 18일 열린 집단분쟁조정회의에서 SK텔레콤에 개인정보 유출 피해 신청자들에게 1인당 10만원 상당의 보상금 지급 결정을 내렸다고 21일 발표했다. 조정위 측은 “민관합동조사단의 7월 조사 결과와 개인정보보호위원회의 8월 처분 결과를 보면 SKT 해킹으로 인한 개인정보 유출과 소비자 피해가 발생한 사실이 인정된다”며 “이에 따라 SKT에 보상 책임이 있음을 확인했다”고 밝혔다. 보상 내용을 살펴보면 신청인들은 통신요금에서 5만원을 깎아주고, 제휴사에서 현금같이 사용 가능한 티플러스포인트 5만 포인트를 받게 된다. 이번 분쟁조정은 지난 5월 9일 소비자 58명이 ‘SKT 홈가입자서버’ 해킹 사고로 개인정보가 유출된 데 대해 보상과 재발 방지 대책을 요구하며 집단분쟁조정을 신청한 것이 발단이었다. 조정위는 SK텔레콤이 이번 결정을 받아들이면 조정에 참여하지 않은 나머지 피해자들도 동일하게 보상을 받을 수 있도록 후속 절차를 밟을 방침이다. 피해자가 약 2300만명에 달하는 만큼 전체를 대상으로 보상이 이뤄질 경우 총액은 2조 3000억원 규모가 될 전망이다. 조정위는 조만간 SK텔레콤에 조정결정서를 보낼 예정이며, SK텔레콤은 이를 받은 뒤 15일 이내에 수락 의사를 조정위에 통보해야 한다. 이에 대해 SK텔레콤 측은 조정안을 면밀히 검토한 뒤 신중히 결정하겠다는 입장을 밝혔다.

“도전해 달라… 실패 책임은 경영진”품질·보안·안전 등 기본에 최우선몸집 키우기보다 ‘질적 성장’ 집중‘AI 전환’ 전 구성원 생존 과제 규정 “이제 CEO의 C는 Change(변화)다.” 정재헌 SK텔레콤 최고경영자(CEO·사장)가 취임 후 처음 연 전사 타운홀 미팅에서 스스로를 ‘변화 관리 최고책임자(Change Executive Officer)’로 규정하고 강도 높은 혁신을 선언했다. 정 CEO는 16일 서울 중구 SK텔레콤 본사 수펙스홀에서 열린 타운홀 미팅에서 “빠르게 바뀌는 시장 환경에서 과거의 방식을 반복하는 것만으로는 변화를 만들 수 없다”며 “실패의 책임은 경영진이 지겠다. 구성원들은 그 안에서 과감히 도전해 달라”고 밝혔다. 정 CEO는 통신 사업의 본질을 ‘고객’으로 규정했다. 품질·보안·안전 등 기본과 원칙을 최우선에 두고 고객 신뢰를 회복하는 데 집중하겠다는 구상이다. 또 SK텔레콤은 경영 체질을 바꾸기 위해 성과 평가 기준도 손질한다. 매출과 이익의 규모를 보여주는 그간의 EBITDA 대신, 투자한 자본이 얼마나 효율적으로 수익을 냈는지를 따지는 ROIC를 핵심 지표로 삼기로 했다. 단순한 몸집 키우기식 성장보다, 실제 ‘진짜 돈이 되는 질적 성장’에 집중하겠다는 취지다. 인공지능(AI) 사업은 ‘선택과 집중’을 통해 글로벌 빅테크와의 경쟁에 나선다. AI 데이터센터 분야에서 경쟁력을 확실히 구축하고 고부가가치 솔루션으로 사업을 확장하는 한편, 제조 AI와 독자 모델 영역에서는 지속적인 전환을 통해 성과를 내겠다는 전략이다. AI 전환(AX)은 특정 조직이 아닌 전 구성원이 참여해야 할 생존 과제로 규정했다. 이를 위해 전사 AI 도구 활용, 업무용 AI 개발 체계, AX 대시보드 구축 등을 추진한다. 조직문화의 지향점으로는 ‘역동적 안정성’을 제시했다. 구성원은 변화와 도전으로 성장하고, 회사는 실패를 감내하는 견고한 기반이 되겠다는 의미다. 정 CEO는 “가치를 공유하고 실행 역량과 단단한 내면을 갖춘 드림팀이 돼야 다시 뛰는 SKT가 될 수 있다”고 했다. 정 CEO는 올해 초 유심(USIM) 해킹 사태 이후 신뢰 회복이라는 과제를 안고 선임됐다. 법조인 출신으로 그룹 내에서 법무·대외협력·거버넌스 분야를 두루 거쳤다.

SK텔레콤과 롯데카드, KT에 이어 쿠팡까지 지난 7개월간 해킹 등으로 통신사, 카드사, 온라인 유통 플랫폼 등 곳곳이 뚫렸다. 이 과정에서 새 나간 개인정보가 6300만건을 넘었다. 전 국민 수보다 많은 개인정보가 줄줄 새면서 언제 어디서라도 악용될 수 있는 2차 피해가 우려된다. 몸집 불리기에 급급한 기업의 안보 불감증이 근본 배경이지만 정부와 국회도 뒷짐만 졌던 책임을 피할 수 없다. 정부는 어제 국회에서 열린 쿠팡 개인정보 유출 사고 현안 질의에서 로그 분석 결과 3000만개 이상 계정의 공격 기간이 지난 6월 24일부터 11월 8일까지라고 밝혔다. 5개월 전부터 벌어진 유출을 기업도 정부도 까맣게 모르다가 고객 신고로 알게 됐다니 아무리 생각해도 황당하다. 정부는 스미싱 등 2차 피해 우려가 있어 모니터링을 강화하겠다고 했지만, 뒷북 대응이라는 비판이 나올 수밖에 없다. 이날 질의에서 “전자상거래법상 통신 판매로 재산상 손해가 났을 경우 영업정지를 할 수 있는데, 영업정지 가능 여부를 체크해 봤느냐”는 의원 질문에 정부는 “관계 기관과 협의하겠다”고만 했다. SK텔레콤 사태부터 관련 법·제도적 미비점과 솜방망이 처벌 등이 도마에 올랐으나 여전히 제자리걸음인 것이다. 2300만여명의 개인정보가 털린 SK텔레콤도 1348억원 수준의 과징금 부과에 그쳤다. SK텔레콤 사태 이후 신속한 공지와 조사, 과징금·과태료 강화 등을 담은 개인정보보호법 개정안은 22차례나 발의됐다. 그래 놓고 상임위 심사 단계에서 번번이 중단됐다. 국회와 정부가 말로만 보안 강화를 외치고 실제로는 손을 놓았던 것이다. 이재명 대통령은 어제 “관계 부처는 해외 사례를 참고해 과징금을 강화하고 징벌적 손해배상 제도를 현실화하는 등의 대책에 나서 달라”고 지시했다. 개인정보 유출 사고가 발생하면 기업이 문을 닫는 수준으로 책임을 물어야 한다. 개인정보 탈취 문제가 ‘국가적 재난’이 되고 있다. 보안 법안의 총체적 재점검에 나서야 한다.

2차 피해 막는 사전통지안 등 22건국회 정무위 심사 문턱도 못 넘어강제력 없는 민관조사단도 한계과방위 출석한 쿠팡 대표 “제 책임” 쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손을 놓고 있었던 국회와 정부가 만들어 낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고 정작 실질적인 법 개정으로는 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면 SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 총 22건이지만 모두 소관 상임위원회인 국회 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보 주체에게 신속하게 법정 통지 사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보 유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 크기 때문이다. 한국인터넷기업협회도 관련 법 개정에 대해 정무위에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 물음에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 답했다. 배경훈 부총리 겸 과학기술정보통신부 장관은 김 의장을 겨냥해 “대다수 국민이 불안해하는 만큼 해당 기업의 최고책임자가 입장을 명확히 밝히는 게 필요할 것 같다”고 말했다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장 조사에 착수했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과기정통부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일간이다.

쿠팡 고객 3370만명의 개인정보 유출은 몸집만 키우고 보안은 뒷전인 기업, 법 개정 등 제도 개선에 손 놓고 있었던 국회와 정부가 만들어낸 예견된 사태라는 목소리가 커지고 있다. 지난 4월 SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 정보 유출 사태 이후 7개월이 넘도록 개인정보보호법 개정안은 단 한 건도 국회 문턱을 넘지 못했다. 소비자 불만이 폭발할 때 일시적으로 법안 발의가 이뤄지고, 정작 실질적인 법 개정으로 이어지지 않은 셈이다. 그 결과 개인정보 유출 이후 기업의 신속한 대응, 강제성 있는 조사, 처벌 강화 등은 여전히 기대하기 어려운 상황이다. 2일 서울신문 취재를 종합하면, SKT 해킹 사태가 발생한 4월부터 이날까지 7개월 동안 발의된 개인정보보호법 개정안은 모두 22건이지만, 모두 소관위원회인 정무위원회 심사 단계 문턱도 넘지 못했다. 발의된 의안 중 유출된 개인정보가 누구 것인지 특정할 수 없을 때 모든 정보주체에게 신속하게 법정 통지사항을 알리는 내용이 8건에 달한다. 하지만 법안 통과가 늦어지면서 이번 쿠팡 사태에서도 뒤늦게 안내를 받는 사례가 속출하고 있다. 곽진 아주대 사이버보안학과 교수는 “소비자가 스미싱 등 2차 범죄에 대응하려면 정보유출 여부를 사전에 아는 것이 매우 중요하다”고 말했다. 민관합동조사단의 조사도 사실상 강제력이 없다는 지적이 이어졌으나 이 부분 역시 개선되지 않고 있다. 국회입법조사처는 지난 5월 ‘통신사 해킹 사고 사후대응의 문제점과 입법과제’를 통해 “사업자가 자료 제출을 거부해도 제재는 1000만원 이하 과태료 부과에 그친다. 이를 상향하거나 이행강제금을 부과해 조사 강제력을 강화해야 한다”고 지적했다. 개인정보 유출 관련 제도 개선이 이뤄지지 않는 건 ‘보안=비용’으로 보는 인식이 커서다. 한국인터넷기업협회도 관련 법 개정에 대해 국회 정무위원회에 “신중한 검토가 필요하다”는 의견을 제출했다. 김명주 서울여대 지능정보보호학부 교수는 “기업 입장에서는 개인정보 보호 관련 규제가 ‘비용’이기 때문에 의견 협의가 이뤄지지 않고 있다”고 말했다. 황석진 동국대 국제정보보호대학원 교수는 “여야는 관련 법안을 민생 법안으로 보고 서둘러 제정해야 한다”고 건의했다. 박대준 쿠팡 대표는 이날 국회 과학기술정보방송통신위원회 긴급 현안질의에서 ‘김범석 쿠팡 의장이 사과할 의향은 없느냐’는 이훈기 더불어민주당 의원의 질의에 “제가 현재 이 사건에 대해 전체 책임을 지고 있다. 한국 법인 대표로서 사태를 해결하겠다”고 말했다. 한편 민관합동조사단을 꾸리고 쿠팡의 개인정보 유출 사고 조사에 나선 과학기술정보통신부는 현안질의에서 “식별된 공격 기간은 지난 6월 24일부터 11월 8일까지”라고 공식 발표했다. 총 138일 간이다. 류제명 과기정통부 2차관은 “3000만개 이상 계정의 개인 정보가 유출됐다”며 “KT 무단 소액결제 사고처럼 ‘관리 부실’이 이번 쿠팡 개인정보 유출 사고의 배경”이라고 밝혔다. 아울러 금융감독원은 쿠팡의 결제 자회사 쿠팡페이에 대해 일주일간 현장조사에 착수했다.

12월 1일부터 모집…착수금 1인당 만 원 최근 쿠팡에서 3,370만 건에 달하는 고객 개인정보가 무단 유출된 사실이 드러난 가운데, 법률사무소 화음(대표변호사 정재권)이 쿠팡 개인정보유출 피해자 집단소송 접수를 시작했다고 밝혔다. 법률사무소 화음은 지난 12월 1일부터 쿠팡 개인정보 유출 사태와 관련해 쿠팡 측에 집단소송을 제기하기 위한 참여자를 모집하고 있다. 법률사무소 화음 정재권 변호사는 “이번 개인정보유출 사건은 외부의 해킹이 아닌 ‘내부 직원’에 의한 유출이므로 쿠팡의 책임이 보다 막중하다”라며 “유출된 정보에는 이름, 휴대전화 번호와 이메일 주소가 포함되어 있어 다른 웹사이트에 대입하는 크리덴셜 스터핑 공격 시도의 가능성이 있으며, 2차 추가 피해의 우려가 있다. 배송 지연을 사칭한 스미싱, 가족과 지인의 정보까지 유추되어 활용되는 등 사생활 침해 위험도 매우 높아 보인다”라고 전했다. 이어 “개인정보보호법에 따르면 정보주체는 법 위반 행위로 손해를 입으면 개인정보처리자에게 배상을 청구할 수 있고, 이 경우 사업자가 고의·과실이 없음을 입증하지 못하면 책임을 면할 수 없다. 과거 카드사 정보 유출, 인터파크 해킹 사건 등에서 법원은 기업의 과실이 인정될 경우 피해자 1인당 10~20만 원 내외의 위자료를 인정한 바 있다. 이번 사건은 주소지(거주지) 정보가 포함돼 스토킹, 보이스피싱 등 오프라인 범죄 악용 가능성이 크므로 더 높은 위자료가 인정될 여지가 있다. 집단 소송을 통해 효율적인 권리 구제와 유사 사태 재발 방지가 최선의 선택이 될 수 있다”라고 전했다. 실제로 해당 사건은 온라인에서도 움직임이 확산되고 있다. 개인정보 유출 사실이 공개된 지 이틀 만에 네이버에는 쿠팡 집단소송 관련 카페가 10여 곳 개설됐으며, 현재도 가입자 수가 빠르게 늘고 있다. 이번에 유출된 계정 정보가 3,370만 개에 달하는 만큼 개인정보 유출 관련 국내 단체 소송 가운데 최대 규모가 될 수 있다는 전망이 나온다. 앞서 법률사무소 화음은 SKT 유심정보 유출 피해자 단체소송을 3차까지 진행한 바 있다. 특히 화음 정재권 대표변호사는 과학기술정보통신부 고문변호사로 고도의 경험과 전문성을 바탕으로 소송을 진행해 나간다. 현재 법률사무소 화음에서 진행하는 쿠팡 개인정보유출 집단소송은 착수금 1만 원으로 참여할 수 있으며, 홈페이지 내 신청서 작성 등의 방법으로 신청자를 모집하고 있다. 배상금은 최소 10만 원에서 최대 30만 원 정도로 예상하고 있으며, 진행 과정에서 구체적 사실관계의 확정 및 증거 현출에 따라 청구금액을 확장하는 방식으로 진행할 예정이다. 정 변호사는 “과학기술정보통신부 고문 변호사로서의 경험을 통해 축적된 정보통신 관련 법률 및 정책에 대한 높은 이해도는 이번 소송을 성공적으로 이끄는 데 큰 강점이 될 것”이라며 “더 이상 혼자 고민하지 마시고, 저희와 함께 목소리를 내주시길 바란다”라고 밝혔다. 한편, 법률사무소 화음은 과학기술정보통신부(과기부) 고문 변호사로 위촉된 정재권 대표변호사를 포함해 IT 분야의 전문성을 지닌 변호사들로 구성된 로펌이다.

中업체, 고객 타기팅 정교화 우려SKT 사태보다 심각한 피해 예상배송지는 계정보다 더 많이 유출주소 이용 실제 범죄도 대응해야 쿠팡에서 국내 인구 4분의3에 이르는 약 3370만개의 고객 계정 정보가 유출되는 사고가 발생한 가운데 앞선 SK텔레콤 유심(USIM·가입자 식별 모듈) 정보 노출과 KT의 무단 소액결제 및 해킹 사태 때보다 피해가 훨씬 심각할 수 있다는 우려가 나왔다. 염흥열 순천향대 정보보호학과 명예교수는 30일 서울신문과의 통화에서 “통신 3사는 시장을 나눠 갖기에 한 기업에서 고객 정보 유출 사고가 발생해도 전체 국민이 피해를 보는 건 아니지만 쿠팡은 국민 대다수가 이용하고 있는 만큼 정보 유출 사고로서는 역대급일 것”이라고 설명했다. 염 교수는 특히 2차, 3차 피해 가능성이 통신사의 개인정보 유출 사고보다 심각하다고 설명했다. SK텔레콤의 해킹 사건은 탈취된 유심 정보가 복제폰을 만드는 데 악용될 수 있어 유심을 교체하는 조치가 필요했다면, 쿠팡에서 유출된 정보의 경우 온라인 범죄는 물론 실제 범죄에 쓰일 가능성에도 대비해야 한다는 것이다. 염 교수는 “전화번호와 주소가 같은 데이터베이스 안에 매핑돼 있어 전화번호만 알면 주소를 알 수 있다. 주소에 접근해 물리적 범행을 할 가능성도 존재하기에 추가 범행을 막을 조치가 필요하다”고 말했다. 김명주 서울여대 지능정보보호학부 교수는 “국내 소비자가 알리바바나 테무 등 중국 이커머스를 사용하지 않고 쿠팡을 택한 가장 큰 이유는 중국에 개인정보가 유출되는 걸 우려하기 때문인데, 이번 사태로 어떤 제품을 샀는지 기질·성향을 나타내는 개인 식별 정보가 넘어가게 될 경우 중국 이커머스가 고객 타기팅을 더 정교화하는 데 쓰일 수 있다”고 지적했다. 이 경우 쿠팡뿐 아니라 국내 이커머스 산업 전체가 타격을 받을 수도 있다. 김 교수는 “다크웹을 이용해 다른 사이트에서 유출된 정보와 결합하면 새로운 범죄 가능성이 커진다”며 “이 경우 2차 피해가 즉각 일어나지 않고 소비자 경계가 느슨해진 뒤에 발생하기 때문에 쿠팡 때문인지 알 수 없게 되는 등 원인과 규모를 특정하기도 어려워 소비자 피해는 더 커질 수 있다”고 경고했다. 특히 배송지 정보는 유출된 고객 계정 수인 3370만개보다 더 많이 유출됐을 가능성도 제기된다. 쿠팡에서는 주문을 하고 본인이 수령하는 경우뿐 아니라 지인·가족에게 보내기 위해 1인당 2~3개 이상의 배송지 정보를 입력했을 가능성이 높기 때문이다. 정보가 유출되고도 통지를 받지 못한 사람이 상당할 것이라는 전망도 나온다.

국내 전자상거래(이커머스) 시장 1위 업체인 쿠팡의 대규모 개인정보 유출이 반년 전부터 발생했을 가능성이 제기되면서 소비자들 사이에서 불안과 우려가 커지고 있다. 정부는 민간과 합동조사단을 꾸려 사고 원인 분석에 나섰고, 경찰은 수사에 착수했다. 30일 유통업계에 따르면 쿠팡은 전날 오후 “고객 계정 약 3370만개가 무단으로 노출된 것으로 확인됐다”고 공지했다. 쿠팡은 노출된 고객 정보가 고객 이름과 이메일, 전화번호, 주소, 일부 주문정보로 ‘제한’됐고, 결제 정보와 신용카드 번호는 포함되지 않았다고 발표했다. 이어 “현재까지 조사에 따르면 해외 서버를 통해 지난 6월 24일부터 무단으로 개인정보에 접근한 것으로 추정하고 있다”고 덧붙였다. 고객의 민감한 개인정보 탈취 시도가 이미 5개월 전에 시작됐다는 것이다. 쿠팡은 이번 유출 사고를 지난 18일에서야 인지하고 지난 20일과 전날 각각 관련 내용을 개인정보보호위원회에 신고했다. 개인정보보호위는 현재 관련 조사를 진행 중이며, 개인정보보호법상 안전조치 의무 위반사항이 확인될 경우 엄정 제재한다는 방침이다. 과학기술정보통신부는 민관합동조사단을 꾸려 사고 원인을 분석하고 재발 방지 대책을 마련하기로 했다. 서울경찰청 사이버수사대는 지난 25일 쿠팡 측으로부터 이번 사태에 대한 고소장을 받아, 개인 정보 유출 사태에 대한 수사에 착수했다. 전자상거래를 이용하는 국민이라면 대부분 쓰고 있다고 볼 수 있는 쿠팡에서 대규모 고객 정보 유출 사고가 발생하면서 소비자들 사이에서는 2차 피해를 우려하는 목소리가 나오고 있다. 전날 관련 기사에는 “개인정보 털렸는데 그냥 미안하다고 문자 하나만 띡 보내면 다냐”, “요즘 광고 전화 너무 많이 오더니”, “전 국민 털렸네” 등 정보 유출에 대한 불안과 분노 섞인 댓글이 달렸다. 또 고객의 이름과 이메일, 전화번호, 주소만으로도 분히 사기 등의 범죄에 악용될 수 있다는 지적도 나온다. 특히 주소가 유출되면서 문 앞 배송을 원활히 하기 위해 기재한 공동 현관 비밀번호까지 다 노출된 것 아니냐는 불안까지 제기되고 있다. 쿠팡이 피해 규모를 9일 만에 약 7500배로 조정한 것을 두고도 향후 조사 결과에 따라 피해 규모가 더 커질지도 모른다는 추측도 나온다. 또 지난 6월부터 정보 탈취 시도가 있었던 것으로 확인된 만큼 정보 유출이 수개월에 걸쳐 이뤄졌을 가능성도 제기된다. 쿠팡은 지난 20일 정보 유출 피해 고객 계정이 4500여개라고 발표했으나 29일에는 3370만개라고 다시 공지했다. 쿠팡이 지난 3분기 실적 발표 당시 언급한 프로덕트 커머스 부분 활성고객(구매 이력이 있는 고객)이 2470만명인데 이보다 훨씬 많은 수준이다. 사실상 전체 고객의 정보가 유출된 것으로 보인다. 또 쿠팡의 이번 고객 정보 유출 규모는 개인정보 보호 위반으로 개인정보보호위로부터 역대 최대 과징금(1348억원) 처분을 받은 SK텔레콤의 개인정보 유출 사고(약 2324만명)를 뛰어넘는 규모다. 다른 기업들의 보안 관련 사고에서도 당국의 조사가 진행되면서 피해 규모는 더 커졌다. 앞서 사이버 침해 사고가 발생한 롯데카드의 경우 지난 9월 4일 사과문에서는 “현재까지 조사한 결과에 따르면 고객 정보 유출 사실은 확인되지 않았다”고 공지했으나, 그로부터 2주 뒤에는 카드번호뿐 아니라 CVC번호 등 민감 정보까지 유출됐다고 밝혔다. KT의 경우 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹이 제기돼 경찰이 이달 강제수사에 착수했다.

SK텔레콤이 유심 해킹 사태로 개인정보 유출 피해를 본 고객들에게 1인당 30만원을 배상하도록 한 개인정보보호위원회 분쟁조정위원회의 조정안을 수용하지 않겠다고 20일 밝혔다. SK텔레콤 관계자는 “조정위의 결정을 존중하지만, 사고 후 회사가 취한 선제적 보상과 재발 방지 조치가 조정안에 충분히 반영되지 않아 수용하지 않기로 했다”면서 “다만 고객 신뢰 회복과 추가 피해 예방을 위한 조치는 계속 이어갈 것”이라고 전했다. 앞서 분쟁조정위는 지난 4일 SK텔레콤에 피해 고객 3998명에 대해 1인당 30만원 지급을 권고하는 조정안을 내놓았다.

정부 “3998명에 30만원씩 지급”수용 시 2300만명 확대 가능성업계 “자진신고 기피 등 부작용AI 기반 보안 강화가 핵심 대책” 개인정보보호위원회 산하 분쟁조정위원회가 SK텔레콤의 개인정보 유출 사건과 관련해 내린 배상 조정안의 수락 시한이 다가오면서 통신업계의 관심이 집중되고 있다. 현재 조정안이 수용되면 전체 고객(약 2300만명)에게 확대 적용될 가능성이 있어 SK텔레콤이 조정안을 거부할 소지가 높게 점쳐진다. 18일 통신업계에 따르면 개인정보분조위는 지난 4일 SK텔레콤 해킹 사태 피해 고객 3998명을 대상으로 1인당 30만원의 배상금을 지급하라는 조정 결정을 의결했다. SK텔레콤은 이튿날 조정안을 송달받았으며, 15일의 검토 기간이 끝나는 21일 자정까지 수락 여부를 통보해야 한다. 기한 내 입장을 밝히지 않으면 조정은 불성립으로 처리된다. 앞서 SK텔레콤은 조정안에 대해 “자발적인 보상 노력이 반영되지 않아 아쉽다”고 입장을 낸 만큼 이를 받아들이지 않을 거라는 전망이 대체적이다. 실제 SK텔레콤은 사고 발생 직후 1200만명 대상 무료 유심 교체, 7000억원 규모의 보안 혁신 투자 등을 시행했다. 그 영향은 실적에도 반영돼 올해 3분기 연결 기준 영업이익은 484억원으로 전년 대비 90.9% 급감했다. 지난 8월 개인정보위가 의결한 1348억원의 과징금 또한 회계상 비용으로 반영되면서 재무적 부담이 더욱 커진 상황이다. 이러한 조치에도 최대 7조원 규모로 확대될 수 있는 조정안이 나오면서 업계 전반에서는 이른바 ‘역인센티브’ 우려가 커지고 있다. 역인센티브란 제도가 의도한 취지와 달리, 기업이 오히려 사고 사실을 숨기거나 자진 신고를 꺼리게 만드는 부작용을 말한다. 배상 규모가 지나치게 클 경우 결국 소비자 요금 인상이나 보안 투자 축소로 이어질 수 있다는 지적도 나온다. 전문가들은 고액 배상이나 과징금만으로는 해킹 사태를 근본적으로 막기 어렵다는 점을 강조한다. 김태오 창원대 법학과 교수는 “어떤 정보가 유출됐는지에 따라 배상 규모가 달라지는 것이 타당한데, 1인당 30만원은 사실상 최고 수준”이라며 “기업 입장에서는 법정에서 다퉈볼 여지를 남긴 조정안”이라고 말했다. 결국 근본적인 소비자 보호는 신뢰 회복과 재발 방지에 있으며, 통신사와 IT 기업이 추진하는 ‘제로 트러스트’(Zero Trust) 등 AI 기반의 보안 모델 도입이 핵심 대책이라는 평가가 나온다. 제로 트러스트는 내부 시스템 접근자와 기기까지 잠재적 위협으로 간주해 접근을 엄격히 통제하는 보안 모델로, 업계에선 차세대 보안 체계로 주목받고 있다.

임원 승진 11명… 퇴직자 확 늘어통신, 해킹 넘어 신뢰 회복 최우선AI, 수시 재편… 급변 환경에 대응통합보안센터 조직·인력 늘리고커뮤니케이션센터도 새로 개설 SK텔레콤이 지난 4월에 발생한 초대형 해킹 사태로 흔들린 신뢰를 되찾고 인공지능(AI) 중심 기업으로 체질을 바꾸기 위해, 임원 수를 대폭 줄이고 통신·AI 양대 사내회사(CIC) 체제를 중심으로 조직 구조를 재편했다. SK텔레콤은 13일 통신(MNO)과 AI를 양대 축으로 하는 조직 개편과 임원 인사를 발표했다. 이번 개편으로 임원 수는 전년 대비 30% 가까이 줄었다. 신규 임원으로 승진한 이들은 김석원 MNO CIC 프로덕트 브랜드본부 브랜드 담당 등 11명이다. 지난해 신규 승진자가 3명에 불과했던 것과 비교하면 확대됐지만, 퇴직 임원 수가 늘면서 전체 규모는 많이 축소됐다. 회사 측은 “임원의 실질적 책임과 역할 강화를 위한 조치”라며 “조직 유연성을 높이고 신속한 의사결정이 가능하도록 설계했다”고 설명했다. 통신 사내회사(MNO CIC)는 고객 신뢰 회복을 최우선 과제로 삼는다. 해킹으로 흔들린 브랜드 신뢰를 되찾기 위해 마케팅과 영업 체계를 재편하고, 기업용(B2B) 사업의 기술 지원 기능을 강화한다. 네트워크 조직은 AI·디지털 전환(AT·DT) 역량을 높여 본원적 경쟁력을 강화한다. AI 사내회사(AI CIC)는 정석근·유경상 공동 CIC장 체제 아래 핵심 기술과 사업 역량을 결집한다. 주요 사업 영역은 AI 서비스 ‘에이닷’ 중심의 B2C 사업, AI 클라우드·피지컬 AI 등 B2B 솔루션, 메시징·결제 등 디지털 플랫폼 사업, AI 데이터센터(AI DC) 등이다. AI CIC 조직내 팀은 프로젝트 중심으로 수시 재편이 가능해, 급변하는 시장 환경에 민첩하게 대응할 수 있다. 정재헌 SK텔레콤 사장은 “각 사업 특성에 맞춰 최적화된 업무와 의사결정 구조를 만들기 위한 선택”이라면서 “통신 신뢰 회복과 AI 실질적 성과 창출이라는 두 축을 동시에 달성하겠다”고 했다. 이번 조직 개편은 지난 4월 발생한 해킹 사태의 후속 조치와 맞물려 있다. 당시 SK텔레콤 가입자 2324만 4000명의 휴대전화 번호, 가입자식별번호(IMSI), 유심 인증키 등 25종 개인정보가 유출됐다. SK텔레콤은 접속을 포착했지만 즉각 점검을 하지 않아 관리 부실 논란이 일었다. 개인정보보호위원회는 SK텔레콤에 역대 최대 과징금 1348억원을 부과했다. SK텔레콤은 이번 조직 개편과 함께 통합보안센터 조직과 인력을 확충하고, 대외협력·홍보 기능을 통합한 커뮤니케이션센터(Comm센터)도 신설했다. 기술적 보안뿐 아니라 조직 신뢰와 리스크 관리 체계 전반을 강화하는 것이 목표다.

KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.