SK텔레콤이 유심 해킹 사고 이후 이동통신사를 변경하는 고객을 대상으로 위약금을 면제하기로 하면서 가입자 이탈이 확대될 것으로 보인다. 이를 막기 위해 5000억원에 달하는 별도의 보상 프로그램을 마련하기도 했으나, 삼성전자의 신형 휴대전화 출시와 이동통신 단말기유통구조개선법(단통법) 폐지를 앞두고 있어 통신업계 신규 유치전이 치열해질 전망이다. SK텔레콤은 해킹 사고가 발생한 지난 4월 18일 자정 기준 SK텔레콤 가입자 중 4월 19일 0시부터 오는 14일 24시까지 가입을 해지하는 고객의 위약금을 전액 면제하겠다고 지난 4일 밝혔다. 6일 SK텔레콤에 따르면 전날인 5일부터는 T월드 홈페이지와 앱을 통해 위약금 환급액을 조회할 수 있으며, 15일부터 환급 신청이 가능하다. 환급은 신청일 기준 7일 이내 받을 수 있다. SK텔레콤은 이탈하려는 고객을 붙잡고 남아있는 고객에 감사를 표시하고자 5000억원 규모의 보상 프로그램을 마련했다. 8월 한 달간 통신 요금을 50% 할인해 주고, 8월부터 12월까지 매달 데이터 50GB(기가바이트)를 추가로 제공하는 게 골자다. 연말까지 T멤버십을 통해 뚜레쥬르·파리바게뜨·도미노피자 등 제휴사에서 최대 50~60% 할인 혜택도 제공한다. 각종 보상안에도 위약금 면제 카드를 쓴 만큼 14일까지 가입자 이탈은 지속될 것으로 보인다. 사태 발생 이후 SK텔레콤으로부터 이탈한 가입자는 80만명이 넘는 것으로 알려졌는데, 위약금 면제를 발표한 다음 날인 지난 5일에도 SK텔레콤에서 3865명이 KT와 LG유플러스로 이동한 것으로 나타났다. 지난 5월 유영상 SK텔레콤 사장은 국회에 출석해 “위약금을 면제하면 최대 250만명이 이탈할 수 있다”고 내다보기도 했다. SK텔레콤은 올해 매출액 전망치를 17조 8000억원에서 17조원으로 하향 조정했다. 이동통신 3사의 고객 유치전 역시 더욱 치열해질 전망이다. 9일엔 삼성전자가 신형 폴더블폰을 공개할 예정이라 번호이동 수요가 늘어날 가능성이 높다. 22일엔 단통법이 폐지되면서 각 사가 보다 유연한 보조금 정책을 내세워 신규 가입자를 유치할 수 있게 됐다. SK텔레콤이 고객 유치를 위해 다른 통신사보다 많은 보조금을 내세우고 있는 만큼 KT나 LG유플러스도 지원금 규모를 현행보다 확대할 가능성이 점쳐진다. 개인정보보호위원회는 SK텔레콤에 대해 역대 최고 수준의 과징금 부과를 예고한 상태다. SK텔레콤 가입자 9000여명이 제기한 손해배상 청구 소송도 남아있다.

유심 해킹 사태로 과학기술정보통신부 민관합동조사단의 조사 결과를 받아든 SK텔레콤이 정부의 조사 결과와 대책 요구를 수용하겠다고 밝혔다. 해킹 사태로 인해 약정을 해지한 고객은 소급 적용돼 위약금을 환급 받을 수 있게 됐다. 유영상 SK텔레콤 대표는 4일 서울 중구 SK텔레콤 본사에서 긴급 브리핑을 열고 “사이버 침해 사고와 관련해 통렬하게 반성하고 참회하는 심정”이라며 허리 숙여 사과했다. 이어 SK텔레콤 전 고객을 대상으로 ▲위약금 환급 ▲8월 통신요금 50% 할인 ▲추가 데이터 50GB(기가바이트) 제공 ▲정보보호 혁신 등을 골자로 하는 고객 신뢰 회복 방안을 발표했다. 소비자는 통신사와 일정 기간 동안 회선 계약을 유지하는 조건으로 휴대전화 단말기 또는 요금 할인을 받을 수 있는데, 이 기간을 채우기 전 해지하면 위약금을 납부해야 한다. SK텔레콤의 경우 12개월 또는 24개월의 약정 기간 전 해지하면 약정 기간의 중간 지점까지 위약금이 증가했다가 이후 점차 낮아져 약정 만료 시점에 소멸하는 구조다. 이날 브리핑에는 유 대표 외에 류정환 SK텔레콤 네트워크인프라 센터장, 임봉호 SK텔레콤 이동통신(MNO)사업부장이 배석했다. 다음은 일문일답. -위약금은 언제부터, 어떤 절차로 면제되나? “SK텔레콤 해킹 사고 발생(을 인지)한 4월 19일 밤 12시 이전에 SK텔레콤을 이용하던 고객이 19일 밤 12시 이후 약정을 해지했거나 오는 14일 이전까지 해지할 예정인 경우 위약금이 환급된다. 단 4월 19일 이후 새로 SK텔레콤에 가입한 고객은 위약금 환급 대상에서 제외된다. 내일인 이달 5일부터 T월드를 통해 위약금을 환급받을 수 있는 대상인지, 예상 환급액은 얼마인지 조회가 가능하다. 또 SK텔레콤의 소셜서비스(SNS) 채널을 통해 환급 절차가 공지될 예정이다. 온라인 확인이 어려운 고객을 위해 7~8일 이틀간 환급 대상인 고객 전원에게 안내 문자를 발송할 예정이다. 위약금 환급 신청은 15일 온라인 T월드 홈페이지나 공식 인증 대리점, 또는 고객센터를 통해 가능하다. 신청일로부터 일주일 이내에 환급액이 신청한 계좌로 송금될 예정이다.” -데이터 무제한 요금제를 사용하는 고객에게는 데이터 50GB 제공이 큰 의미가 없을 것 같다. “고객 감사 패키지를 고민할 때 어떤 방안이 공정할지 고민했다. 그래서 50% 요금 할인과 50GB 데이터 제공을 같이 진행한 것이다. 낮은 요금제를 쓰는 고객은 50% 할인의 절대 금액이 적지만 50GB 데이터의 가치가 높고, 데이터 무제한 등 높은 요금제를 쓰는 고객은 50GB의 가치가 낮지만 50% 할인된 금액이 크다. 전체적으로 형평성이 맞도록 고객감사패키지를 고안했다.” -휴대전화와 인터넷·TV 등 결합 할인을 받는 고객은 번호 이동을 할 경우 어떤 기준으로 위약금 면제가 이뤄지나. “유선(인터넷·TV) 결합을 했더라도 모바일과 유선 위약금은 별도로 책정되게 돼 있다. 이번에 SK텔레콤에서 해킹 사고로 인해 위약금을 면제하는 부분은 모바일 위약금에 한정된다. 결합을 해지하더라도 결합 해지에 따른 위약금은 없고, (유선 서비스와) 결합을 한 상태에서 (통신사) 이동을 한 경우에는 모바일 위약금에 한정해 환급된다. 유선 이동 위약금은 이번 해킹 사고와 무관하기 때문에 이번 환급에서는 제외됐다.” -위약금 면제 시점을 7월 14일까지로 설정한 이유는 무엇인가. “위약금 면제 시점을 언제까지 할지에 대해 고민이 많았는데, 해킹으로 인해 해지를 원했던 고객들은 해킹 사태가 발생한 직후 2개월 내로 많이 떠났다고 본다. 그래서 그 분들을 소급해 환급하기로 했다. 유심 보호 서비스나 유심 교체 등 불안 요인에 대한 조치는 대부분 진행이 완료됐다고 판단해, 지금 시점에 (통신사 이동에 따른) 위약금의 추가 환급 수요는 없다고 판단한다. 그래도 그동안 위약금을 환급받고 싶었지만 못했던 분들이 있어 (14일까지로) 추가 연장했다. 14일까지면 이동을 원하는 고객은 충분히 떠날 수 있는 시간이 아닌가 싶어 그렇게 정했다.” -과기부의 조사 결과 발표 직후 속도감 있게 결론을 낸 배경은 무엇인가. “과기부의 조사 결과 발표가 6월 30일로 예정됐다가 4일로 바뀌었다. 그 전에 긴급하게 여러 상황과 보기를 놓고 이사회에서 토론을 해왔다. 오늘 과기부가 발표한 후 긴급 이사회를 열었고 격론 끝에 위약금 면제를 수용하기로 결정했다. 이전에 위약금 면제는 불가능하다는 입장이었지만 과기부 발표와 고객·시장 관련 상황을 보며 정부안을 수용하는 것이 경영 판단의 원칙상 회사와 주주의 이익에 부합한다고 판단했다.” -과기부 조사 결과에 따르면 2022년 2월에 악성코드에 감염된 서버를 발견하고도 정부에 신고하지 않았다. 그때 은폐하지 않았다면 이번 사태도 막을 수 있었을텐데 왜 신고하지 않았나. “오늘 민관합동조사단이 발표한 결과에 대해선 저희가 진정으로 잘못했고 반성한다. 2022년 사태는 조사 결과에 대해 긴급하게 내부 조사를 진행하고 있다. 현재까지 파악한 바로는 2022년 악성코드 발견 당시 담당 부서가 내부의 업무 처리 관례에 따라 망 장애가 생기지 않도록 긴급하게 대응한 것으로 보인다. 악성코드가 있으니 바로 대응했고, 당시에는 개인정보 유출 피해가 없는 걸로 파악이 됐다. 추측하기로는 그 당시 담당자가 법적 신고 대상인지 몰랐던 것으로 보인다. 그래서 경영진에게 보고가 이뤄지지 않았다. 이번 해킹 사고를 통해 회사 내부 프로세스(절차)에 무엇이 잘못됐는지 돌아보고 정보보호 혁신안 등 전체적인 개선점을 찾아 대응 매뉴얼을 강화하고 재발 방지에도 심혈을 기울이겠다.” -최태원 회장 등 SK그룹도 이번 의사결정에 참여했나. “sk그룹은 이사회 중심의 경영을 지향하고 있다. SK텔레콤 대표와 이사회가 결정하는 것이기 떄문에 최 회장이 오더라도 결정 권한이 없다. 위약금 면제와 보상안은 대표와 이사회가 결정 -위약금 면제 수용으로 실적에 얼마나 영향이 있을 것으로 보나. “고객 감사 패키지로 5000억원(이 들어) 회사 입장에서는 매출이 그만큼 감소하는 것이다. 5년 동안 정보보호에 7000억원을 투자하는 것도 현재보다 훨씬 높은 투자라 회사 실적에는 영향이 있을 것으로 생각한다. 다만 단기간의 매출과 실적 하락보다 장기적으로 SK텔레콤이 보안이 강한 회사, 고객의 신뢰를 회복할 수 있는 회사가 되느냐가 더 중요하기 때문에 단기적으로 실적이 저하되는 부분은 감내할 생각이다.”

명품 브랜드 디올과 티파니, 카르티에에 이어 루이비통에서도 해킹으로 인한 고객 개인정보 유출 사고가 발생했다. 루이비통코리아는 3일 홈페이지 공지를 통해 “제3자가 당사 시스템에 일시적으로 접근해 일부 고객 정보를 유출한 사실을 알려드리게 됐다”면서 “지난 6월 8일 발생한 사고를 전날 인지했다”고 밝혔다. 이어 “이번 사고로 영향을 받은 개인정보 항목에는 이름과 성, 연락처 및 고객이 제공한 추가 정보가 포함돼 있을 수 있다”며 “비밀번호 또는 신용카드 정보, 은행 계좌 정보, 기타 금융 계좌 정보 등의 금융 정보는 포함되지 않았다”고 설명했다. 올해 들어 명품 브랜드들에서는 고객 개인정보 유출 사고가 잇따르고 있다. 앞서 디올은 지난 1월 발생한 유출 사고를 지난 5월 발견했다고 사과했고, 같은 달 티파니도 지난 4월 유출 사고가 일어났다고 알렸다. 카르티에도 지난달 유출 사건이 발생했다고 고객들에게 공지했다. 명품 온라인 플랫폼 머스트잇은 지난 5월과 6월 두차례 해킹 시도가 있어 회원들의 이름과 성별,생년월일 등 개인정보가 유출됐을 가능성이 있다고 공지했다.

잇따른 개인정보 해킹·유출 사고에 보안 이슈가 통신업계의 가장 큰 리스크로 떠오르면서 통신사들이 보안 강화와 소비자 홍보에 주력하고 있다. LG유플러스는 27일 국내 1호 프로파일러(범죄행동분석관)로 알려진 권일용 동국대 경찰사법대학원 겸임교수를 보안 앰배서더로 선정하고 보이스피싱·스미싱 피해 예방 활동을 전개하겠다고 밝혔다. 강력반 형사와 과학수사요원(CSI)을 거치며 인지도가 높은 범죄심리 전문가 권 교수를 앞세워 보안 관련 기술을 소개하고 피싱의 위험성을 알리기 위해서다. 권 교수는 첫 행보로 인공지능(AI)으로 보이스피싱을 탐지하는 LG유플러스의 ‘익시오’ 기술을 소개하는 콘텐츠를 제작할 예정이다. 익시오는 문맥을 이해하는 AI를 활용해 보이스피싱으로 의심되는 통화가 감지될 경우 즉시 위험 알림을 제공하는 서비스다. 또 일선 매장에서 진행하는 고객 피해 예방 활동과 안내문에도 권 교수의 자문과 감수를 받고 전담 교육에도 섭외할 것으로 전해졌다. LG유플러스가 보안 앰배서더를 위촉한 것은 권 교수가 처음이다. 지난 17일 전국 1800여개의 매장을 ‘보안 전문 매장’으로 지정하고 보안 전문 상담사를 최소 1명씩 배치하는 등 보안 이슈에 대한 대응을 강화하고 있는 행보의 연장선이다. SK텔레콤의 유심 해킹 사태를 비롯해 최근 예스24, 파파존스 등 기업들의 사이버 침해 사건이 빈발하면서 통신3사는 보안 리스크 대응에 안간힘을 쏟고 있다. 24일 신규 영업을 재개한 SK텔레콤은 연간 1000억원 이상을 정보 보호에 투자하고 보안 전문 자체 인력을 약 2배로 늘리는 등 보안 강화 대책을 내놨다. KT 역시 보안 취약점 신고 포상제도인 ‘버그바운티’를 시행하고 비정상적인 기기변경 사례를 추적·차단하는 시스템을 고도화하는 등 내부 대응을 강화하고 있다. 배경훈 과학기술정보통신부 장관 후보자는 이날 출근길에 기자들과 만나 “인공지능(AI) 시대에서도 AI 관련 여러가지 서비스들이 많이 이뤄질텐데 지금 이런 보안 체계를 잘 살펴봐야 한다”며 정부 차원의 대응력 강화를 예고했다.

SK텔레콤이 51일 만에 영업 전면 재개에 나섰지만, 이번 해킹 사태로 인해 가입자가 상당수 이탈했을 뿐만 아니라 소비자 신뢰를 크게 잃어 회복까지 상당한 시간과 비용이 소요될 것으로 전망된다. 위약금 면제 등 소비자 보상안은 민관합동조사단의 조사 결과가 공개되는 전후로 나올 예정이다. 24일 김희섭 SK텔레콤 PR 센터장은 서울 중구 삼화타워에서 진행된 일일브리핑에서 소비자 보상 방안과 관련해 “고객신뢰회복위원회에서 고객 자문단을 통해 의견을 받고 있고, 여러 법률 자문도 하고 있다”면서 “정리되는 대로 발표할 것”이라고 했다. 이어 “고객에 대한 감사 표시 관련해선 신뢰회복위원회와 논의하고 있으며, 고객이 안심하고 쓸 수 있는 서비스를 어떻게 만들 것인가는 정보보호투자 강화와 관련해 논의 중”이라면서 “민관 합동 조사 결과가 나오는 전후에 설명하겠다”고 했다. 당초 합동조사단의 조사 결과는 이달 말 발표될 예정이었으나, 과학기술정보통신부 인선 문제로 다음달 초에 이뤄질 가능성도 있어 보상안이 공개되는 것도 그만큼 늦어질 가능성이 커졌다. 보상안 마련에 시일이 걸리는 사이 SK텔레콤에 대한 소비자 만족도는 큰 폭으로 떨어졌다. 시장조사업체 컨슈머인사이트가 이날 내놓은 ‘SKT 유심 해킹 사태 소비자 인식 조사’ 보고서에 따르면 SK텔레콤은 이동통신 3사는 물론 알뜰폰(MVNO)을 포함한 전체 조사대상인 13개 브랜드 중 소비자 만족도에서 가장 낮은 점수를 받았다. SK텔레콤은 해당 조사를 시작한 2005년 상반기부터 지난해 하반기까지 통신 3사 중 소비자 만족도 1위를 단 한 번도 놓친 적이 없었다. SK텔레콤이 신뢰 회복과 가입자 확보를 위해 막대한 예산을 사용할 가능성에 대해선 회의적인 분위기다. 유심 교체에 상당한 자금이 들어간 데다 다음달 중엔 신규 영업 중단으로 피해를 본 대리점 등 유통망에도 보상이 진행될 예정이라서다. 신규 영업 재개에 따라 책정된 마케팅 비용에 대해 SK텔레콤은 “다음 달 말 이동통신단말장치 유통구조 개선에 관한 법률(단통법) 폐지 이후 시장 상황을 예측하기 어려워 확정해서 발표하긴 어렵다”고 했다. 거기다 SK텔레콤이 향후 내야 할 과징금 액수도 변수로 작용할 전망이다. 개인정보보호법은 ‘전체 매출액의 3%’를 과징금을 부과할 수 있도록 하고 있는데, 이 경우 SK텔레콤이 내야 할 과징금은 최대 5300억원에 달한다.

지난 9일 랜섬웨어 해킹으로 접속이 차단돼, 모든 기능이 완전히 마비됐던 국내 최대 규모 인터넷서점 ‘예스24’ 홈페이지가 책 구매와 티켓 예매가 가능해지는 등 상당 부분 복구가 됐다. 그런데도, 여전히 개인정보 유출 가능성이 여전히 남아 있어 고객들의 불안감이 줄지 않고 있다. 예스24는 지난 13일 홈페이지를 통해 도서 및 티켓 서비스가 재개됐다고 15일 밝혔다. 책, 음반/DVD, 문구류, 전자책 등 상품 구매와 티켓 서비스는 이용 가능해졌지만, 상품 알림 신청이나 상품 미리보기, 리뷰나 한 줄 평 쓰기, 매장 상품 검색 등은 이용이 불가능한 상태다. 대부분의 서비스가 재개되기는 했지만, 개인정보 유출 가능성은 경찰과 개인정보보호위원회의 조사 중이어서 소비자들은 불안에 떨고 있다. 예스24는 유출 가능성은 없지만 만에 하나 유출 사실이 확인될 경우 회원 개인에게 통보하겠다고 알린 상태다. 회원이 2000만 명에 이르기 때문에 개인정보가 유출됐을 경우 다양한 2차 피해가 발생할 수 있어 우려가 커지고 있다. 약 2000만 명의 회원이 가입한 국내 최대 온라인서점인 예스24의 홈페이지와 앱은 지난 9일 해킹으로 서버의 동작을 제어하는 서버 설정 파일과 서버에서 실행되는 스크립트 파일 등 주요 부분이 공격당해 메인 서버는 물론 백업 서버에도 문제가 생겨 나흘 동안 사실상 모든 기능이 완전히 마비됐다.

김석환·익환·지원 남매 홀딩스 지분 과반 소유해킹 닷새째…오너·경영진 공식 해명도 없어 한세예스24 그룹의 주력 계열사인 온라인 서점 예스24가 해킹 공격으로 닷새째 먹통이 된 가운데 김동녕 한세예스24 회장이 자녀 대상으로 주식을 추가 증여해 이목을 끌고 있다. 정작 예스24 해킹 사태와 관련해선 김 회장과 실질적 경영자인 장남 김석환 대표 모두 입을 다물고 있다. 한세예스24홀딩스는 김동녕 한세예스24 회장이 장녀 김지원 한세엠케이 대표에게 한세예스24홀딩스 200만주(5%)를 증여했다고 지난 12일 공시했다. 12일 종가 기준 총 81억 5000만원에 달하는 규모다. 김 회장의 한세예스24 지분은 기존 16.99%에서 11.99%로 줄어들었고, 김 대표의 지분은 5.19%에서 10.19%로 늘어났다. 이번 증여로 김 회장의 세 자녀는 한세예스24홀딩스 지분의 절반 이상을 갖게 됐다. 한세예스24 그룹 전체에 대한 지배력을 2세들에게 넘긴 셈이다. 한세예스24홀딩스는 산하에 3개 상장 계열사와 51개 비상장 계열사를 거느리고 있다. 현재 한세예스24홀딩스 최대주주는 김 회장의 장남인 김석환 한세예스24홀딩스 대표로 현재 지분 25.95%를 갖고 있다. 김 회장은 오래 전부터 자녀들에게 꾸준히 증여해 왔다. 한솔예스24가 공시를 시작한 1999년 이전 김 회장은 이미 김석환 대표와 김익환 한세실업 대표, 김지원 대표 등 세 자녀에게 보유 주식 일부를 증여한 상태였다. 2018년에는 손자들에게도 증여를 시작했다. 경영 승계도 마무리된 상황이다. 김석환 대표는 그룹 전반과 도서 유통사업인 예스24와 동아출판을 맡고 있고 김익환 대표는 의류 제조업체 한세실업, 김지원 대표는 패션 사업을 맡고 있다. 한세예스24홀딩스 관계자는 “앞으로 인수합병(M&A) 기회를 적극 탐색하고 기존 사업을 강화해 향후 그간의 성장세를 이어갈 것”이라고 말했다. 시장에서는 김 회장의 증여가 이어질 것으로 보고 있다. 김 회장은 한세예스24뿐 아니라 한세실업 5.49%, 예스24 2.53%, 한세엠케이 1.15% 등의 지분을 직접 쥐고 있다. 재계 관계자는 “한세예스24 그룹은 소유와 경영 승계가 사실상 마무리된 상황이기 때문에 김 회장 자녀들 대상으로 추가 증여 시도가 꾸준히 이어질 것으로 보인다”고 말했다. 한편 예스24는 랜섬웨어 해킹으로 앱과 인터넷 사이트 접속이 차단돼 이날로 닷새째 주요 기능이 마비된 상태다. 고객의 개인정보 유출 우려까지 나오는 상황에서 한세예스24 오너와 경영자의 책임있는 사과문이나 공식 해명조차 나오지 않고 있어 책임 회피 논란이 인다. 김 회장은 현재 예스24 이사회 일원으로 경영에 참여하고 있다.

회원 수만 2000만명에 달하는 국내 최대 규모의 인터넷서점 ‘예스24’ 해킹 사태가 나흘째 이어지면서 소비자 불만이 폭주하고 있다. 예스24 앱과 홈페이지는 지난 9일 랜섬웨어 해킹으로 접속이 차단돼 책 주문과 공연 예매 등 모든 기능이 완전히 마비된 상태다. 서버 동작을 제어하는 설정 파일과 서버에서 실행되는 스크립트 파일 등 주요 부문이 공격당해 메인 서버에 접근할 수 없을 뿐만 아니라 백업 서버 역시 비활성화 상태인 것으로 전해졌다. 예스24는 지난 11일 2차 입장문을 내고 “최우선적으로 공연 현장 입장 처리 시스템을 복구하고 늦어도 일요일 내에는 정상화될 것으로 예상된다”고 밝혔다. 실제로 12일 공연 입장 처리 시스템(예매처 확인용)이 복구돼 공연 현장의 혼란은 다소 줄어들 것으로 보인다. 경찰은 해킹범 추적부터 회원 개인정보 유출 여부까지 광범위한 내사에 착수했다. 개인정보보호위원회도 예스24로부터 피해 신고를 받아 관련 조사에 나선 상황이다. 이와 관련, 예스24 측은 “현재까지 개인 정보의 외부 유출 정황은 확인되지 않았으나 추가 조사 결과 유출이 확인될 경우 즉시 개별 통지할 것”이라고 알렸다. 해킹 이후 책 주문은 물론 공연 취소까지 잇따르면서 소셜미디어(SNS)를 중심으로 소비자들은 “이참에 폐업하라”는 말까지 쏟아내며 불만을 토로하고 있다. 동종업계는 촉각을 곤두세우고 있다. 2년 전 해킹으로 지금까지 몸살을 앓고 있는 인터넷서점 알라딘과 예스24와 함께 인터넷서점을 양분하고 있는 교보문고는 긴급 보안 상태 점검과 혹시 모를 해킹 사태에 대비한 보안 강화를 하는 분위기다.

회원 수만 2000만 명에 달하는 국내 최대 규모의 인터넷서점 ‘예스24’에 대한 해킹 사태가 나흘째 이어지면서, 소비자들의 불만이 폭주하고 있다. 이에 대해 교보문고와 알라딘 등 관련 업계들도 사태의 추이를 주목하며 보안 점검에 나서고 있다. 예스24 앱과 홈페이지는 지난 9일 랜섬웨어 해킹으로 접속이 차단돼, 책 주문과 공연 예매 등 모든 기능이 완전히 마비된 상태다. 서버의 동작을 제어하는 서버 설정 파일과 서버에서 실행되는 스크립트 파일 등 주요 부문이 공격당하면서 메인 서버에 접근할 수 없는 상황이다. 해킹 여파로 백업 서버 역시 활성화되고 있지 않은 것을 전해졌다. 일반적으로 메인 서버가 해킹당하면 하루 정도면 복구되지만, 예스24는 백업 서버까지 영향을 받아 복구 작업이 길어지고 있다는 것이 보안업계의 설명이다. 예스24는 지난 11일 오후 2차 입장문을 내고 “최우선적으로 공연 현장 입장 처리 시스템을 복구하고 그 외 각각의 서비스는 하루 이틀 내 순차적으로 복구될 예정이며, 늦어도 일요일 내에는 정상화될 것으로 예상된다”고 밝혔다. 실제로 12일에 공연 현장 입장 처리 시스템(예매처 확인용)이 복구돼 공연 현장에서 혼란은 다소 줄어들 것으로 보인다. 해킹 사고 이후 제작사와 공연장은 지정 좌석이 판매됐는지 확인할 수 없고, 관객들이 구매를 증명하지 않는 이상 공연장 안에 들여보내지 못했다. 공연이 임박해서야 좌석이 비어있는 걸 보고 관객을 들여보내는 경우는 그나마 다행이었고, 일부는 예매 여부를 확인하지 못해 공연장에 들어가지 못하자 고성이 오가는 일도 생겼다. 예스24 측은 이번 해킹 사고로 피해 본 고객들을 대상으로 한 보상안도 마련 중인 것으로 알려졌다. 한 공연 관계자는 “예스24가 공연을 보지 못한 예매자에게는 비용의 110%를 보상하고, 제작사나 공연장에는 판매되지 못한 부분에 대해 보상해주겠다는 제안을 했다는 이야기를 들었다”고 전했다. 경찰은 이번 해킹 사건에 대한 내사에 착수했다. 현장 방문 조사를 통해 해킹범 추적부터 회원 개인정보 유출 여부까지 광범위하게 조사할 방침인 것으로 전해졌다. 개인정보보호위원회(개보위)도 예스24로부터 개인정보 유출 신고를 받아 지난 11일부터 관련 조사에 나선 상황이다. 경찰과 개보위의 조사가 시작됨에 따라 예스24는 뒤늦게 “향후 추가 조사 결과 개인정보 유출 확인 시 개별 연락을 드리겠다. 현재까지 파악한 바로는 고객님들의 개인정보 외부 유출 정황은 확인되지 않았다. 만에 하나의 가능성을 대비해 알려드리는 것”이라는 공지사항을 올렸다. 해킹으로 시스템 에러가 발생한 지난 9일부터 줄곧 ‘개인정보 유출은 없었다’고 밝힌 예스24가 처음으로 유출 가능성에 관해 언급한 것이어서 주목된다. 해킹 이후 책 주문은 물론 공연 취소까지 잇따르면서 신뢰도는 바닥 모르게 추락하고 있는 분위기다. 소셜미디어(SNS)에서는 “전자책 사 모은 것 어떻게 되냐”는 우려부터 “개인정보 다 털리고, 판매 수치, 판매량도 문제가 생길 듯”, “이참에 폐업해라”는 등의 불만이 쏟아졌다. 이런 분위기에 동종업계는 촉각을 곤두세우며 보안 점검에 나서고 있다. 2년 전 해킹으로 인한 전자책 유출 사태가 벌어진 인터넷서점 알라딘은 보안 상태 점검과 혹시 모를 해킹 사태에 대비한 보안 강화를 하는 분위기다. 예스24와 함께 인터넷서점을 양분하고 있는 교보문고 역시 보안 상황 정밀 점검에 나선 것으로 알려졌다. 예스24는 해킹 복구 과정에서도 사실과 다른 입장문을 발표해 눈총을 사고 있다. 한국인터넷진흥원(KISA)은 11일 밤 10시 29분에 “예스24가 발표한 서비스 접속 오류 관련 입장문에 사실과 다른 내용이 있다”고 반박 설명자료를 냈다. KISA에 따르면 지난 11일 예스24는 2차 입장문에서 ‘예스24 권민석 최고보안책임자 및 관련 부서가 KISA와 협력해 원인분석 및 복구 작업에 총력을 다하고 있다’고 언급했으나, 이는 사실과 다르다는 것이다. 사고 상황 파악을 위해 예스24 본사로 KISA 분석가들이 지난 10일과 11일 두차례 방문했으나, 11일 오후 10시 현재까지 예스24는 KISA의 기술지원에 협조하지 않았다는 설명이다.

국내 최대 온라인서점 예스24가 해킹 공격을 받아 나흘째 접속이 마비된 가운데, 개인정보 유출 가능성이 제기되면서 당국의 조사가 본격화됐다. 이용자 수가 2000만명을 넘는 만큼 파장이 커질 것으로 보인다. 12일 개인정보보호위원회는 예스24가 랜섬웨어 공격을 받은 뒤 일부 회원 정보가 비정상적으로 조회된 정황을 확인해 조사에 착수했다고 밝혔다. 예스24는 이날 홈페이지를 통해 “현재까지 외부 유출 정황은 확인되지 않았지만, 만에 하나의 가능성에 대비해 공지하는 것”이라며 “유출 확인 시 개별 연락하겠다”고 안내했다. 예스24의 앱과 홈페이지는 지난 9일부터 접속 불가 상태다. 해커는 서버 구동에 필요한 설정 파일과 스크립트 파일을 직접 노린 것으로 알려졌다. 예비용 백업 서버까지 정상 작동하지 않아 복구는 지연되고 있다. 예스24 측은 이르면 12일 중 공연 입장 시스템부터 순차적으로 복구하고, 늦어도 일요일까지는 전면 정상화를 목표로 하고 있다고 밝혔다. 다만 이번 사태로 인한 책 주문·공연 예매 지연, e-book 구매자 불안, 고객 신뢰도 하락은 불가피한 상황이다. 경찰도 내사에 착수해, 해킹 경위와 개인정보 유출 여부를 포함한 광범위한 조사를 진행할 예정이다. 이런 가운데 동종 업계도 긴장감을 감추지 못하고 있다. 알라딘은 보안 상태를 긴급 점검하고, 교보문고 역시 관련 시스템 점검에 돌입했다. 업계 전반의 보안 불감증이 도마에 오른 가운데, 해킹 방어 체계 전반에 대한 점검이 불가피해졌다는 지적이 나온다.

인천경찰청이 인터넷서점 예스24의 해킹 사건에 대해 입건 전 조사(내사)에 착수했다. 인천경찰청 사이버범죄수사대는 해킹으로 사흘째 접속 불가 상태인 예스24와 관련해 내사를 시작했다고 11일 밝혔다. 2000만명의 회원을 보유하고 있는 예스24는 랜섬웨어 해킹 공격으로 지난 9일 새벽부터 현재까지 홈페이지와 애플리케이션 접속 장애를 겪고 있다. 이 때문에 도서 검색·주문, 티켓 예매 등 예스24의 모든 서비스가 중단된 상태다. 예스24 측은 암호화를 푸는 대신 서버에 백업해 놓은 파일을 되살리는 방식으로 복구 작업을 하는 것으로 알려졌다. 예스24 측은 한국인터넷진흥원(KISA)에 피해 신고를 했으나 경찰이 사안의 심각성을 고려해 내사하기로 결정했다. 예스24는 KISA에 사이버 공격 관련 기술지원 동의를 하지 않아 KISA가 사고 조사를 위한 정보 접근에 한계가 있다. 경찰은 우선 해킹범을 추적하는 동시에 구체적인 피해 규모 등을 확인할 예정이다. 예스24는 홈페이지를 통해 “내부 조사 결과 개인정보 유출 정황은 확인되지 않았다”며 “관계기관 조사에 성실히 임하고 그 결과를 다시 공지하겠다”고 알렸다.

인터넷서점 예스24가 이틀째 접속 불가 상태가 된 원인이 랜섬웨어에 의한 해킹인 것으로 파악됐다. 10일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원은 한국인터넷진흥원(KISA)에서 받은 자료를 토대로 예스24가 전날 해킹 피해를 신고했다고 밝혔다. 예스24도 이날 관련 입장문을 냈고 홈페이지에도 ‘현재 접속 오류는 랜섬웨어로 인한 장애로 9일 새벽 4시쯤부터 발생했으며 복구 작업을 하고 있다’고 알렸다. 사고 발생 직후에 보안 강화 조치를 하고 관계 당국에 신고했으며 사고 원인과 피해 여부를 파악하는 데 최선을 다하고 있다고 덧붙였다. 전날 새벽부터 도서 검색과 주문, 티켓 예매, 이북(eBook), 전자도서관 등 모든 서비스가 멈춘 상태다. 최 의원실은 해커들이 회원 정보 등을 암호화해 해독에 어려움을 겪고 있다고 설명했다. 보통 랜섬웨어 해커들은 암호화를 풀어주는 조건으로 금전적 대가를 요구하지만 이번 해킹은 그 정도의 상황은 아닌 것으로 파악됐다고 부연했다. 예스24 측은 암호화를 푸는 대신 서버에 백업해놓은 파일을 되살리는 방식으로 복구 작업을 하는 것으로 알려졌다. 한국인터넷진흥원에 사이버 공격 관련 기술 지원 동의를 하지 않아 진흥원 차원에서 사고 조사를 하는 데는 한계가 있는 것으로 전해졌다. 예스24는 “조사 결과 회원님들의 개인정보는 일체의 유출 및 유실이 없는 점을 확인했으며 주문 정보를 포함한 모든 데이터 역시 정상 보유 중”이라며 서비스를 정상화한 뒤에 보상 방안을 안내하겠다고 했다. 다만 서비스 재개 시점에 대해서는 확답을 미뤘다.

대만에서 배달 라이더들의 개인정보를 도용해 배달 플랫폼의 아이디(ID)를 만든 뒤 배달 주문을 가로챈 남성이 검거됐다. 해당 플랫폼은 안면인식을 거쳐야 로그인이 가능했는데, 이 남성은 마스크팩을 쓰고 얼굴을 가려 안면인식을 통과했다. 이같은 황당한 ‘안면인식 해킹’ 사건으로 대만에서는 각종 애플리케이션의 안면인식 기능이 허술한 게 아니냐는 우려가 제기되고 있다. 8일 중톈신문망, CTS뉴스 등 대만 언론에 따르면 타이베이시 경찰은 최근 ‘컴퓨터 사용 방해’ 등의 혐의로 쑤모(32) 씨를 체포해 지난 6일 검찰에 송치했다. 경찰에 따르면 쑤 씨는 배달 라이더들의 명의를 도용해 배달 플랫폼에 접속, 라이더들의 주문을 가로챈 혐의를 받는다. 쑤 씨는 라이더들이 정보를 공유하는 소셜미디어(SNS) 대화방에 라이더들이 올린 신분증 등 개인정보를 이용해 배달 플랫폼에 라이더 전용 아이디를 만든 것으로 조사됐다. 해당 플랫폼은 계정 생성 및 로그인 과정에서 안면인식을 거치도록 하는데, 쑤 씨는 마스크팩을 써서 얼굴을 가린 뒤 안면인식을 통과한 것으로 드러났다. 이를 통해 다른 라이더들에게 들어온 배달 주문 가운데 현금으로 결제하는 주문만 선별해 받았다. 쑤 씨에게 명의를 도용당한 라이더는 18명에 달하며, 쑤 씨는 이들의 명의를 도용해 5만 대만달러(227만원)를 가로챈 혐의를 받는다. “스마트폰과 달리 앱의 안면인식 허술” 지적경찰은 “라이더들의 계정이 도용당했다”는 신고를 받고 수사를 벌여 쑤 씨의 신원을 특정했다. 쑤 씨는 수년 간 해당 플랫폼에서 라이더로 활동했으며, 지난해 말부터 다른 라이더들의 명의를 도용해온 것으로 드러났다. 경찰은 “애플리케이션 등 플랫폼의 비밀번호를 정기적으로 변경하고 SNS 등에 민감한 개인정보를 올리지 말라”고 당부했다. 그러나 마스크팩을 쓴 채 안면인식을 통과할 수 있다는 사실이 알려지자 현지에서는 안면인식 시스템의 허술함을 지적하는 목소리가 높아지고 있다. 대만 TVBS방송은 전문가를 인용해 자체 소프트웨어를 통해 얼굴을 인식하는 스마트폰과 달리 앱이나 플랫폼의 안면인식 시스템은 회사 자체의 인증 매커니즘에 따라 작동하며, 얼굴의 윤곽이나 이목구비의 위치 등을 식별하는 과정에서 허점이 있을 수 있다고 지적했다. 한 보안 전문가는 CTS뉴스에 “안면인식은 기본적으로 이목구비에 관한 정보를 추출하는데, 쑤 씨가 처음 마스크팩을 쓴 채 안면인식을 시도할 때 이같은 문턱이 낮았을 수 있다”면서 “예를 들어 눈썹의 높낮이나 헤어라인의 곡선 등 보다 자세한 정보를 추출해 인식하도록 시스템을 강화해야 한다”고 지적했다.

지난 4월 드러난 SK텔레콤 유심 정보 해킹 사태와 관련해 피해자들의 집단 소송이 이어지고 있다. 10여 곳의 로펌을 중심으로 수십만명의 SK텔레콤 가입자들이 1인당 위자료 50~100만원을 배상하라고 요구하고 있다. 소송에서는 SK텔레콤의 고의 또는 중과실을 입증할 수 있는지 여부가 관건이 될 전망이다. 다만 유심 정보 해킹 사태가 집단 소송 이슈로 덮이면서 자칫 기업의 자발적 보상이나 해커에 대한 수사가 어려워질 수 있다는 우려도 제기된다. 6일 법조계에 따르면, 10여 곳의 로펌이 SK텔레콤 가입자를 대리해 손해배상 소송을 제기한 상황이다. 로피드법률사무소는 지난달 16일 9175명의 가입자를 대리해 1차 소송을 제기한 데 이어 지난 2일 3917명을 대리해 2차 소송도 냈다. 1인당 50만원의 위자료를 배상하라는 취지다. 법무법인 대륜도 지난달 27일 가입자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기했다. 법무법인 로고스, 거북이, 대건, LKB 등도 집단 소송을 제기했거나 준비하고 있다. 소송의 쟁점은 ▲ 유심 정보 유출에 SK텔레콤의 고의 또는 중과실이 있었는지, ▲ 유심 정보 유출에 따른 구체적인 손해가 발생했는지, ▲ 유심 정보 유출과 구체적 손해 사이에 인과관계가 있는지 등이 될 전망이다. 소송을 제기한 로피드법률사무소는 SK텔레콤이 개인정보보호법 및 정보통신망법상 개인정보 안전성 확보 조치 의무와 개인정보 유출 통지 및 신고 의무 등을 위반했다고 주장한다. 또 유출에 따른 피해 최소화 조치 의무를 소홀히 하고 정보보호최고책임자(CISO)의 책임을 방기했다는 입장이다. 다만 SK텔레콤의 고의 또는 중과실을 입증하기 쉽지 않을 것이라는 전망이 나온다. 수사기관이 사건 발생 한 달이 지나도록 해커의 정체를 밝히지 못했을 정도로 해킹이 은밀하게 진행된 터라, 해킹과 SK텔레콤의 규정 위반 간의 인과관계 등을 입증하기 어려울 것이라는 분석이다. 과거 개인정보 유출 관련 손해배상 소송에서도 기업의 고의 또는 중과실이 인정돼 피해자들이 승소한 사례는 거의 없다. 2012년 7월 해커에 의해 KT 가입자 870만명의 개인정보가 유출된 사고에서도 피해자 342명이 KT를 상대로 손해배상 청구 소송을 제기했지만 패소했다. 2심은 “KT가 개인정보 유출방지에 관한 기술적·관리적 보호조치를 이행하지 않은 과실로 인해 사고가 발생했다고 보기 어렵다”며 KT의 배상 책임을 인정하지 않았다. 대법원은 2018년 12월 2심 판결을 확정했다. 아울러 유심 정보 유출에 따른 2차 피해 사례가 드러나지 않은 상황에서 피해자들이 승소하더라도 위자료 액수는 미미할 가능성이 있다. 법조계 관계자는 “정신적 피해에 따른 위자료를 법원이 인정할지 의문”이라면서 “인정하더라도 위자료 액수는 적을 수밖에 없는데 소송에 소비한 시간과 비용을 감안하면 실익이 거의 없다”고 말했다. 집단 소송으로 인해 기업이 오히려 피해자들에게 선제적 보상을 하기 어려워질 수 있다는 지적도 제기된다. 기업이 승소할 가능성이 있음에도 선제적 보상에 나서면 주주 등 이해관계자들의 반발을 살 수 있고 경영진은 배임 책임까지 질 수 있기에 보상보다는 소송에서 이기는 데 주력하게 된다. 특히 SK텔레콤은 패소할 경우 1인당 50만원씩만 배상하더라도 전체 청구액은 수천억 원에 이를 수 있기에 유심 정보 유출에 따른 후속 조치보다는 법률 대응을 최우선으로 할 수밖에 없다. 업계 관계자는 “집단 소송이 제기될 경우 기업은 전사적 역량을 투입해 법률 대응에 나서게 된다”며 “해킹 원인 분석이나 보안 시스템 강화는 뒷순위로 밀려난다”고 말했다. 집단 소송으로 사회적 관심이 기업의 책임에만 쏠려 자칫 해커에 대한 수사와 보안 강화 조치는 소홀해질 수 있다는 우려도 나온다. 해킹 사건의 경우 해커를 특정하기 어렵고, 설령 찾더라도 해외에 거주할 경우 검거는 더욱 어렵다. 이러한 상황에서 수사기관들이 수사 역량을 기업에 집중할 경우 해커를 적발해 재범을 막기는 요원해진다. 이형택 한국 랜섬웨어침해대응센터장은 “해킹 사고를 당하고도 후폭풍을 우려해 신고조차 하지 않는 기업이 10곳 중 9곳에 달한다”며 “이에 해킹 사고가 반복될 수밖에 없다”고 지적했다.

경기 고양시 공영 주차장 이용자 1만여명의 개인 정보가 유출돼 보이스 피싱 등 2차 피해가 우려된다. 고양도시관리공사는 최근 국가정보원으로부터 공영주차장 64곳의 시스템 유지관리 업무를 맡은 업체의 관리자 계정정보가 해커에게 유출됐다는 통보를 받았다고 5일 밝혔다. 해킹은 지난달 21일 오후 3시 27분부터 4시 사이 이뤄졌으며, 1만 399명의 정보가 유출된 것으로 알려졌다. 유출된 정보는 고객 이름, 전화번호, 차량번호 등이다. 주민등록번호와 주소 등은 포함되지 않았다. 공사는 개인정보 유출 사실을 인지한 후 유출에 사용된 관리자 계정을 즉시 삭제했다. 모든 관리자 계정의 비밀번호를 즉시 변경해 추가 유출 가능성을 차단했다. 또 관리자 홈페이지에 대한 외부 접근 제한 등 보안 조치를 했고, 이런 사실을 공영 주차장 홈페이지에 사과문과 함께 공지했다. 공사 관계자는 “유출된 개인정보로 웹사이트 명의도용, 보이스 피싱, 파밍 등 2차 피해 우려가 있으므로 회원들은 비밀번호를 변경해달라”고 당부했다.

디올, 티파니에 이어 명품 브랜드 까르띠에의 고객 정보도 유출되는 사건이 발생했다. 3일 업계에 따르면 까르띠에는 고객에게 이메일을 보내 “권한 없는 제3자가 까르띠에 시스템에 일시적으로 무단 접근해 일부 고객 정보를 취득하는 문제가 발생했다”고 알렸다. 이어 “신속하게 대응해 시스템, 데이터 보안을 강화하는 조처를 했다”며 “당국에 이번 사안을 공유하고 업계 최고의 외부 사이버 보안 전문가와 긴밀히 협력하고 있다”고 덧붙였다. 까르띠에는 이름, 이메일 주소, 국가 등이 유출됐을 가능성이 있다고 밝혔다. 다만 비밀번호, 신용카드 정보, 기타 은행 정보는 어떤 영향도 받지 않았다고 강조했다. 까르띠에는 “고객에게 불편을 끼쳐 드린 점에 대해 깊이 사과드린다”고 밝혔다. 앞서 명품 브랜드 디올과 티파니에서도 개인정보 유출 사건이 발생해 개인정보보호위원회가 조사 중이다.

LG유플러스가 보안 사각지대인 현관문 앞에서 발생하는 범죄나 택배·배달음식 도난 등을 사전에 방지할 수 있는 현관문 폐쇄회로(CC)TV 서비스 ‘우리집지킴이 도어캠’을 출시했다고 30일 밝혔다. 우리집지킴이 도어캠은 움직임이 감지되면 1초 내로 자동 녹화를 시작하며, 실시간으로 스마트폰에 알림을 전송한다. 야간에도 적외선(IR) 모드로 선명한 영상 확인이 가능하며, 사용자는 외부 방문자와 양방향으로 대화하거나 음성 안내를 송출할 수 있다. 개인정보 탈취 우려를 차단하기 위해 보안 성능을 강화했다. 2단계 로그인(아이디와 휴대폰 인증)을 통해 타인의 무단 접속을 차단하며, 사용자가 모르는 기기에 로그인 시 이를 앱에서 확인하고 강제 로그아웃할 수 있는 기능을 탑재했다. 영상은 LG유플러스의 보안 클라우드에 암호화된 형태로 저장되며, 복제가 불가능한 보안 전용 칩(PUF)을 통해 해킹 위험을 원천 차단한다. 현관문에 별도 타공 없이 부착형으로 설치할 수 있어 전·월세 거주 형태에서도 부담 없이 사용할 수 있다. LG유플러스는 강력한 보안을 제공하는 홈캠을 통해 실내 보안 경쟁력을 강화하는 것을 넘어 ‘우리집지킴이 도어캠’ 출시를 통해 실외 보안영역까지 홈보안 시장 경쟁력을 확보해 나갈 계획이다. 기존 우리집지킴이의 집안 내 홈캠과 함께 가입 시 추가적인 할인 및 프로모션 혜택 등도 제공할 방침이다. 우리집지킴이 도어캠 서비스는 월 1만 2100원(3년 약정 기준·모바일/인터넷 결합 시)에 ▲도어캠 1대 ▲20GB 클라우드 영상 저장 ▲택배·화재·도난 보상 보험을 제공한다. KB손해보험과 제휴한 보상보험을 통해 화재·택배·도난 사고 시에는 연간 최대 5000만원(화재), 최대 1000만원(시설 내 도난), 최대 50만원(택배 도난, 연 2회 한도)로 보상을 받을 수 있다.

SK텔레콤(SKT) 유심 정보 해킹 사태와 관련해 이용자 1000여명이 회사 측을 상대로 손해배상 청구 소송을 낼 예정이다. 김국일 법무법인 대륜 대표는 22일 서울 영등포구에 있는 법인 사무실에서 기자회견을 열고 다음주 SKT 이용자 1000여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기하겠다고 했다. 김 대표는 “개인정보 보호는 국민 신뢰의 문제이자 기업의 기본 책무이지만 SKT는 지금까지도 피해 규모나 경위에 대해 충분히 밝히지 않고 있다”고 했다. 그러면서 “이 사건은 역대 최대 규모의 유심 정보 유출 사고”라며 “장기간 해킹에 노출된 정황이 있으며, 피해자들은 유심 교체를 위해 생업을 제쳐두고 대리점을 방문하는 등 현실적인 불편을 겪었다”고 했다. 대륜에 따르면 소송 신청자는 1만명 이상이지만 서류 취합까지 완료된 이들에만 1차 소장을 접수한 뒤 2차 모집을 지속할 계획이다. 이날 대륜이 예고한 손해배상 소송은 형사 고발과는 별개다. 대륜은 지난 1일 SKT 유영상 대표이사와 보안 책임자를 업무상 배임과 위계공무집행방해 등의 혐의로 고발했다. SKT는 지난달 18일 외부 해커 공격으로 이용자들의 유심 정보가 대규모로 유출되는 사고를 당했다. 사태가 커지자 최태원 SK 그룹 회장은 지난 7일 대국민 사과를 했다. SKT는 지난 18일에는 외부 전문가들이 참여하는 ‘고객신뢰회복위원회’를 출범시켰다. 유심 해킹 피해에 따른 위약금 면제, 고객 정보보호 후속 조치 등을 논의하는 기구다.

고학수 개인정보보호위원회 위원장은 21일 “SK텔레콤 (개인정보 유출 사고) 건은 저희가 보는 정황으로는 역대급 사건”이라며 “심각하게 사안을 들여다보고 있다”고 말했다. 고 위원장은 서울 중구 은행회관에서 개인정보위와 한국 개인정보보호책임자(CPO) 협의회가 공동 주관한 포럼에서 기자들과 만나 “국민적 피해가 발생한 것이고 회사가 그 피해를 막지 못한 것”이라고 규정했다. 이어 “(이용자에 대한 정보 유출) 통지는 저희가 지난 5월 2일 의결하고, 9일 (SKT의) 통지가 되긴 했으나 굉장히 유감이 많다”며 “제대로 된 통지가 아니라고 판단했고 뒤늦게 부실하게 한 것 자체가 문제”라고 직격했다. 국회입법조사처는 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 반복되는 이동통신사 보안 사고를 막기 위해 기업의 정보보호 투자 예산을 일정 비율 이상 의무화해야 한다고 지적했다. 국내 이통사 해킹 사고는 2012년과 2014년 KT, 2023년 LG유플러스에 이어 올해 4월 SK텔레콤까지 반복적으로 일어나고 있다. 그러나 해킹을 막기 위한 투자는 미흡하다. 2023년 기준 SK텔레콤의 정보보호 투자액은 867억원(본사 600억원+SK브로드밴드 267억원)이다. KT는 1218억원, LG유플러스는 632억원을 투자하고 있다. 현재 정보보호 투자 비율은 SK텔레콤 5.9%, KT 6.4%, LG유플러스 6.6%다. 금융위원회 고시에 전자금융업자의 경우 정보보호 예산을 정보기술 부문 예산의 7% 이상 되도록 할 것을 규정하기도 했으나 올해 2월 자율보안 방식으로 개정됐다. 강은수 입법조사관은 “SK텔레콤 해킹 사고를 통해 자율보안의 한계가 드러났다”고 지적했다.

고학수 개인정보보호위원회 위원장은 21일 “SK텔레콤 개인정보 유출 사고는 디지털 전환과 인공지능 심화 시대에 국민 신뢰를 위협하는 매우 중대한 사건”이라며 “법 위반사항에 대해 강력하게 제재할 것”이라고 밝혔다. 고 위원장은 이날 오후 서울 중구 은행회관에서 개인정보위와 한국CPO(개인정보보호책임자)협의회가 공동 주관한 ‘개인정보 정책포럼’ 개회사에서 “약 2500만명의 가입자를 보유한 SKT의 개인정보 유출 사고가 발생해 국민들의 우려가 대단히 큰 상황”이라며 이같이 말했다. 이어 “이번 사건을 계기로 공공과 민간이 함께 우리 사회 전반의 개인정보 안전관리 체계를 강화해 나갈 필요가 있다”고 강조했다. 고 위원장은 이어 가진 기자간담회에서도 “SKT 해킹 사고 정황은 개인정보위 관점에서는 역대급 사건으로 기록될 것”이라며 “경각심을 갖고 심각하게 사안을 들여다보고 있다”고도 말했다. 개인정보위는 지난달 22일 SKT 개인정보 유출 신고가 접수된 직후 태스크포스(TF)를 꾸려 개인정보보호법 위반 여부 등을 조사하고 있다. 과학기술정보통신부가 주축인 민관합동조사단과 달리 개인정보 유출 대상과 피해 규모, SKT의 안전조치 의무 위반 여부 등을 살펴보는 것으로 알려졌다. 조사 결과 홈가입자서버(HSS), 통합고객시스템(ICAS) 서버 등 25대 서버가 악성코드에 감염된 것으로 파악됐다. 서버에는 이름, 생년월일, 휴대전화번호, 이메일, 주소, 단말기식별번호(IMEI), 가입자식별번호(IMSI) 등 총 238개 정보가 저장된 것으로도 조사됐다. 고 위원장은 “SK텔레콤이 위원회에 유출 신고한 날부터 ‘수많은 개인정보가 유출됐다’고 의심의 여지 없이 바라보고 있다”며 “HSS와 ISAC 서버에 저장된 정보는 개인정보”라고 지적했다. 또 SKT 측의 ‘개인정보 유출 가능성에 대한 통지’ 관련, “굉장히 유감이 많다”며 (개인정보위 유출통지 의결 때까지) 통지를 하지 않은 것 자체가 굉장한 문제이며 통지 내용도 ‘가능성이 진실이 되면 알리겠다’는 취지의 내용이 담긴 데다 개인정보보호법에서 요구하는 통지 내용에 부합하지 않는 부분도 있다“고 말했다. 개인정보위가 SKT 측에 통지가 미흡했다는 내용의 공문을 보냈다고도 덧붙였다. 다만 고 위원장은 “아직까지 다크웹에서 (유포된 정황 등) 특별히 발견된 건 없다”며 “대규모 데이터베이스(DB) 유출 시 일부를 쪼개거나 다른 형태로 조합해 유통시키는 등 모니터링이 어렵다”고 설명했다. 또 “2차 피해를 최소화하기 위한 노력을 해야겠지만 어마어마한 피해가 이미 발생했다”며 유심 오픈런, 통신사 이동, 국민 불안감 등의 상황을 지적했다.