KT가 ‘BPF도어’(BPFDoor)라는 악성코드에 서버가 감염된 사실을 지난해 3월부터 파악하고도 당국에 신고하지 않은 채 1년 6개월가량 은폐한 것으로 드러났다. BPF도어는 올해 초 SK텔레콤 해킹 사태 때도 피해를 준 은닉성이 강한 악성코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 중간 조사결과 브리핑에서 “서버 포렌식 분석 결과 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않은 사실을 확인했다”고 밝혔다. 앞서 KT는 지난 9월 18일 한국인터넷진흥원(KISA)에 해킹 사실을 신고했다. 과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 검토해 발표하기로 했다. 다만 SKT처럼 가입자 정보가 저장된 HSS 서버의 피해 여부와 개인정보 유출 규모는 아직 파악되지 않았다. 최우혁 조사단장은 “휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 밝혔다. 과기정통부는 KT 유심 교체 과정에서 수급 대란이 일어나 가입자에게 피해가 발생하면 SKT처럼 영업 중단 조치를 내릴 방침이다. KT는 “조사 결과를 엄중하게 받아들인다”면서 “서버 침해 사실을 신고하지 않았던 것과 지연 신고한 데 대해 송구하다”고 밝혔다.

개인정보 분쟁조정위원회는 약 2300만명의 가입자 개인정보를 유출한 SK텔레콤을 상대로 제기된 분쟁조정 신청 사건에 대해 SKT가 신청인들에게 각 30만원의 손해배상금을 지급하도록 하는 조정안을 의결했다고 4일 밝혔다. 분쟁조정위는 전날 전체회의에서 이러한 결정을 내리고 SKT에 개인정보 보호조치 강화 등 재발방지 대책을 함께 권고했다. 앞서 SKT의 해킹 사고로 이용자 2324만 4649명의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출된 것으로 확인됐다. 이와 관련 지난 4월부터 3998명이 SKT를 상대로 분쟁조정을 신청했다. 분쟁조정위는 신청인들이 유출정보 악용으로 인한 휴대전화 복제 피해 불안과 유심 교체 과정에서 겪은 혼란과 불편에 대한 정신적 손해를 입었다고 보고 손해배상금을 결정했다고 설명했다. 분쟁조정위는 조정안을 신청인과 SKT에 각각 통지했다. 양측은 통지일로부터 15일 이내 수락 여부를 밝혀야 하는데 어느 한쪽이라도 거부하면 조정은 불성립된다. SKT 측은 조정안에 대해 “회사의 사고수습과 자발적이고 선제적인 보상 노력이 충분히 반영되지 않아 아쉽다”며 “수락 여부는 관련 내용을 면밀히 검토한 후 신중히 결정할 것”이라고 밝혔다. 업계 안팎에선 SKT가 조정안을 수락할 가능성은 높지 않을 것으로 보고 있다. 조정안을 수락하게 되면 대규모 추가 조정 신청이 들어올 수 있고, 잠재적 배상액이 최대 6조 9000억원에 이를 수 있어서다.

‘해킹사태’ SKT 4년 만에 CEO 교체SK온 이용욱 선임… 체질 개선 가속SKC 김종우, SK에코플랜트 김영식이형희 승진, 4년 만에 부회장 탄생 SK그룹이 SK텔레콤 수장을 4년 만에 교체하는 등 내년도 사장단 인사를 단행했다. 전반적으로 현장형 리더들을 중용했다는 평가다. 이형희 SK수펙스추구협의회 커뮤니케이션위원장은 SK㈜ 부회장으로 승진해 SK그룹에서 4년 만에 부회장이 탄생했다. SK그룹은 30일 수펙스추구협의회 회의를 열어 SK텔레콤 신임 최고경영자(CEO)에 정재헌 대외협력 담당 사장을 선임했다. SK텔레콤 대표로 법조인 출신이 선임된 것은 처음이다. 정 신임 CEO는 2020년 서울중앙지법 부장판사를 끝으로 같은 해 4월 SK텔레콤 법무그룹장(부사장)으로 합류했다. SK텔레콤을 이끌었던 유영상 사장은 SK수펙스추구협의회 AI위원회 위원장으로 자리를 옮겼다. SK텔레콤의 수장 교체는 올 상반기 발생한 대규모 유심 해킹 사태의 여파로 풀이된다. 이날 SK텔레콤은 3분기 별도 기준 522억원의 영업적자를 기록했다고 밝혔다. 금융감독원에 분기보고서를 제출하기 시작한 2000년 이후 첫 적자 전환으로, 해킹 사태와 관련한 고객 감사 패키지, 8월 통신요금 할인 등의 여파다. SK텔레콤은 경쟁력 강화를 위해 회사를 ‘통신 CIC(사내회사)’와 ‘AI CIC’ 체계로 재편하고, 통신 CIC장에 한명진 SK스퀘어 대표이사(사장)를 선임했다. SK그룹은 각 계열사가 직면한 현안을 빠르게 해결하고 조직의 역동성을 높이기 위해 현장과 실행 중심의 리더십을 강화하는 데 초점을 맞췄다. SK온은 이용욱 SK실트론 대표이사를 사장으로 선임해 이석희 사장과 함께 배터리 산업에서 지속 가능한 성장을 위한 체질 개선을 이어 나간다는 계획이다. SKC는 자회사 SK엔펄스를 이끄는 김종우 대표를 사장으로 선임했다. SK에코플랜트는 장동현 부회장과 함께 사업을 이끌어 갈 신임 사장으로 김영식 SK하이닉스 양산총괄을 선임했다. SK스퀘어는 글로벌 투자 전문성이 있는 김정규 SK㈜ 비서실장을, SK AX는 CCO(최고고객책임자)로 주요사업을 총괄하는 김완종 부사장을, SK실트론은 정광진 자회사 SK실트론CSS 대표를, 그리고 SK브로드밴드는 김성수 유선/미디어사업부장을 각각 신임 사장으로 선임했다. SK그룹 최고 협의기구인 수펙스추구협의회도 인사를 단행했다. 이형희 커뮤니케이션위원장은 부회장으로 승진해 SK㈜ 부회장단에서 활동한다. 신임 커뮤니케이션위원장에는 염성진 CR팀장이 사장으로 승진·보임됐다.

올해 초 해킹 사태를 겪은 SK텔레콤의 대표이사가 교체될 전망이다. 유영상 대표에서 정재헌 대외협력담당 사장으로 바뀔 가능성이 높은 가운데, 정 사장이 대표로 임명되면 SK텔레콤 역사상 첫 법조인 출신 최고경영자(CEO)가 된다. 29일 통신업계에 따르면 SK그룹의 컨트롤타워인 수펙스추구협의회는 30일 회의를 열어 SK텔레콤을 포함한 계열사 사장단 인사를 결정할 예정이다. SK텔레콤의 차기 대표로 유력하게 거론되는 정 사장은 사법연수원 29기로 2020년 법원을 떠났다. 같은 해 4월 SK텔레콤 법무담당 부사장으로 합류했으며, 2023년엔 대외협력담당 사장으로 승진했다. 현 유 대표는 수펙스추구협의회로 자리를 옮길 것으로 전해졌다. SK텔레콤의 자회사인 SK브로드밴드 사장도 교체될 전망이다. 김성수 유선·미디어사업부장이 차기 사장으로 유력하게 거론된다. 김 부장은 SK브로드밴드의 미디어·유선 사업을 총괄했다. SK텔레콤이 인공지능(AI) 혁신 추진을 위해 설립한 AI CIC(사내회사) 대표는 윤풍영 SK AX 사장, 통신 분야를 맡는 텔코 CIC 대표는 한명진 SK스퀘어 사장이 자리를 옮길 것으로 전망된다.

#안정성·보안 함께 다뤄라전산망은 안정성, 해킹은 보안 문제미국은 걸프전 이후 둘을 묶어 대응해킹 탐지·예방·무력화 ‘삼축’ 절실#전산망 복귀 재촉 말아라전원 설비도 이중화했는지 점검을데이터 복원 뒤 무결성도 점검하고시설 미비·판단 착오 여부 따져야#보안 컨트롤타워 세워라 오래전 뚫렸는데 몰랐을 가능성도고도화된 수법 탓 말고 전수조사를국가안보실이 컨트롤타워 역할해야국가정보자원관리원(국정자원) 화재로 정부 전산망이 마비되는 사태가 발생했다. 앞서 SK텔레콤과 KT, 롯데카드에선 해킹과 정보 유출 사고가 잇따랐다. ‘디지털 블랙아웃’에 취약한 초연결사회의 취약성과 민관의 부실 대응이 드러난 것이다. 김승주 고려대 정보보호대학원 교수는 30일 서울 성북구 고려대 미래융합기술관에서 진행한 인터뷰에서 “역대 정부가 전자정부 이용자가 많다는 것만 홍보하고, 정작 안정성과 보안성은 간과했다”고 질타했다. 그러면서 “탐지와 방어, 원천 무력화를 뜻하는 군사 용어인 ‘삼축 체계’를 사이버 보안에 도입하고, 해킹(보안)과 전산망(안정성)을 하나로 다루는 패러다임 전환이 필요하다”며 “어떤 위협이 있어도 시스템이 가동되는 상태를 만들어야 한다”고 말했다. 이어 “국정자원 화재와 관련, 데이터 이중화뿐만 아니라 전원 설비의 이중화도 확인해야 하며 전수조사로 정부 전산망과 데이터센터의 취약점을 잡아 내야 한다”고 밝혔다. 다음은 일문일답. -해킹 사태에 이어 정부 전산망까지 마비됐는데. “패러다임의 실패다. 화재에 따른 전산망 마비는 안정성, 해킹은 보안의 문제다. 한국은 이걸 따로 접근하는 낡은 패러다임에 갇혀 있다. 미국은 걸프전 이후 하나로 접근했다. 모래바람 때문에 통신이 자주 끊겼는데 해킹에 의해서든, 안정성이 부족해서든 통신이 안 되는 건 똑같다는 걸 깨닫고 ‘정보 보안’(Information Security)이 아닌 ‘정보 보증’(Information Assurance)이란 용어를 쓰기 시작했다. 정보보증은 단순히 보안을 지키는 데 그치지 않는다. 시스템이 365일 안정적으로 운영되도록 하는 것까지를 목표로 한다. 보안과 안정성을 함께 확보한다는 의미다.” -정보 보증 패러다임으로 전환하려면. “사이버 보안에도 삼축 체계를 도입해야 한다. 탐지와 방어, 원천 무력화다. 정부는 미국 보안 전문지 ‘프랙 보고서’가 아니었으면 통신사, 정부기관이 해킹에 뚫렸다는 사실도 인지하지 못했을 거다. 심지어 정보기관도 몰랐다. 우선 사이버 탐지 능력을 갖춰야 한다. 두 번째는 해킹을 막아 내는 ‘예방’이다. 무력화는 해킹 집단을 완전히 소탕해서 재발을 막는 것이다.” -정부 전산망이 멈춰 선 원인은. “지금 데이터 이중화만 강조되는데, 전원 설비도 이중화됐었는지 확인해야 한다. 데이터 백업만으론 빠른 복구가 어렵다. 데이터를 백업해도 전원이 꺼지면 모든 시스템이 날아간다. 전원 설비와 자가 발전 시설이 이중화되어 있고 데이터센터의 격벽이 규정대로 설치됐는지 등도 따져 봐야 한다.” -화재 이후 대응엔 문제가 없었나. “화재는 5층에서 발생했는데 다른 층 서버도 모두 꺼졌다. 정부는 ‘배터리에 불이 나 항온항습 장치가 꺼지면서 다른 층도 선제적으로 껐다’고 발표했다. 상식적으로 배터리도 이중화됐다면 독립된 배터리가 가동돼서 다른 층의 항온항습 장치는 정상 작동됐어야 했다. 이중화 미비가 원인인지, 현장의 판단 착오였는지 따져 봐야 한다.” -전산망 복구 시점이 미뤄졌는데. “애초에 빨리 해결될 수가 없다. 데스크톱에 저장된 파일을 외장 하드에 복사했다가 원위치시킨다고 해도 시간이 걸리지 않나. 엄청나게 큰 용량이고 한두 대가 아니다. 복원한 뒤 데이터 무결성도 점검해야 한다. 물이 엎질러졌는데 서두르면 더 큰 문제가 생길 수도 있다.” -1등급 시스템도 복구가 지연됐다. “중요도가 높은 1등급 시스템 복구가 늦어지는 것은 정부가 강하게 질책받을 부분이다. 한국은 인터넷 의존도가 높아 사이버 방어 능력이 취약한 편이다. 프랙 보고서를 보면 공공 부문의 보안은 허술했고, 이번 화재 사건으로 안정성도 형편없었다는 게 드러났다. 전자정부 이용자가 많다는 것만 홍보했고, 안정성과 보안성은 허술했다.” -전산망과 데이터는 100% 복구될 수 있을까. “완전 복구 여부는 데이터 동기화 주기에 달렸다. 복구 시점이 2주에서 4주로 늘어나는 것을 보고 100% 백업됐을지 의문이 생겼다.” -최근의 해킹 사태는 ‘해킹 기술 고도화’가 원인인가. “해킹 수법 고도화 때문이라고 하면 본질이 흐려진다. 고도화된 해킹 기법으로 뚫렸는지 따져 봐야 한다. 롯데카드는 8년 전 보안 업데이트 권고가 있었지만 이를 놓쳤다. SKT는 다른 국가가 배후에 있었던 걸로 추정된다.” -최근 들어 해킹 사태가 잇따라 드러나는 이유는. “오래전부터 뚫려 있었는데 인지하지 못했을 가능성이 있다. SKT는 폐쇄망을 운영한다고 했지만 실제로는 인터넷과 단절되지 않았고 해커는 2021년에 침투했다. 8년간 방치된 롯데카드도 마찬가지다.” -프랙 보고서는 온나라시스템(범정부 업무 시스템) 침투를 지적했는데. “해킹 프로그램이 어디에 설치돼 있는지 아직 모른다. 정부와 공공기관에 대한 전수조사가 시급하다.” -정부 보안 관리 체계가 제각각인 점은 괜찮나. “각 부처의 전문성은 살려야 하지만, 동시에 전체를 한눈에 보고 조율하는 컨트롤타워가 있어야 한다. 국가안보실이 그런 컨트롤타워 역할을 맡아야 하지만, 현재로선 기능이 원활하지 않다.” ■김승주 교수는 1971년생. 성균관대 정보공학과를 졸업한 뒤 동대학원에서 정보보호학 석박사 학위를 받았다. 한국인터넷진흥원에서 암호기술팀장과 보안성평가팀장으로 일했다. 고려대 교수로 재직하며 문재인 정부 대통령 직속 4차산업혁명위원회 위원, 윤석열 정부 대통령 직속 국방혁신위원회 위원을 지냈다. 2023년부터 고려대 디지털정보처장을 맡고 있다.

SKT·롯데카드·KT 등 각종 서버 해킹 피해자들이 손해배상 소송을 제기하고 있지만 ‘1인당 10만원’ 배상액에 갇혀 피해자에게 돌아오는 실익이 적다는 지적이 나온다. 특히 집단 소송은 시간이 오래 걸리는 ‘소모전’인데다 승소 가능성이 적다는 점도 문제점으로 꼽힌다. 28일 법조계에 따르면 주요 해킹 사건으로 인한 개인 정보 유출 관련 피해 배상액은 대부분 ‘1인당 10만원’ 수준이다. 개인정보 보호법상 정보가 유출되면 법정 손해배상은 300만원 이하 범위에서 가능하지만, 개인 피해자들이 기업의 과실을 입증하기 어려워 패소하거나 소액 판결에 그치고 있기 때문이다. 실제 지난해 모두투어 개인정보 유출 사건과 관련, 서울중앙지법은 지난달 12일 위자료 액수를 10만원으로 인정하는 판결을 했다. 2014년 NH농협·KB국민·롯데카드 개인정보 유출 사건, 2016년 인터파크 해킹 사건에서도 1명당 10만원 배상 판결이 나왔다. 이마저도 집단 소송에 참여한 피해자만 배상받을 수 있었다. 법적으로 손해 배상이 인정되려면 정보 유출로 인해 실제 재산상 피해가 발생했다는 점과 기업 측의 고의 또는 과실을 입증해야 해서다. 결국 개인에 불과한 피해자가 오랜 법적 다툼 끝에 패소하는 사례가 적지 않다. 예컨대 2008년 옥션 개인정보 유출의 경우 대법원은 “(기업이) 해커 등의 불법적인 침입행위에 노출될 수밖에 없고, 완벽한 보안도 기술의 발전 속도 등을 고려할 때 기대하기 쉽지 않다”며 기업의 손을 들어줬다. 소송 자체도 장기전인데 일부 로펌이 소송인단 모집에만 열을 올리고 정작 소송에 들어가면 성실하게 대응하지 않는다는 비판도 나온다. 15년 전 네이트 등 해킹 사건의 집단 소송을 주도했던 원고 A씨는 “이제까지 책임감 있게 소송을 진행하는 로펌을 제대로 보지 못했다”며 “승소금을 ‘먹튀’하는 변호사도 있다”고 했다. 피해자에게 착수금이나 성공 보수 등을 무리하게 요구하는 로펌도 있다고 한다. 집단 소송은 ‘돈이 안 되는’, ‘대기업과 맞서는’ 사건으로 분류돼 로펌도 소극적인 분위기다. 집단 소송 경험이 있는 한 변호사는 “다수의 원고를 관리하면서 집단 소송을 운영하면 로펌 입장에서는 남는 것이 없다”면서 “영세 로펌들이 싸게 소송 인원을 모집한 뒤 나중에 가서 성공보수로 전체 배상액의 20~30%를 요구하는 방식을 쓴다”고 말했다. 최근에는 피해자들의 불편을 최소화할 수 있는 새로운 유형의 소송도 나오고 있다. 한 로펌은 SKT 해킹 피해자들에게 손해배상 채권을 산 뒤 대규모 소송을 제기했다. 피해자가 로펌이 만든 공식 사이트에서 5만원에 채권을 매각하면, 로펌이 이를 매입해 소송을 제기하는 방식이다.

AI로 하루 만에 공격 대상 약점 분석몇 개월 잠복하며 내부망 권한 장악시스템 중단 우려에 보안 조치 미뤄기업 보안 의식 안일… 쉬운 먹잇감 “요즘 해킹은 인공지능(AI)까지 동원해 취약한 고리를 빠르고 집요하게 뚫어내는데, 기업들의 보안 수준과 의식은 2000년대 초반에 머물러 있으니 사고가 날 수밖에 없죠.”(27세 화이트해커 김모씨) SKT, KT, 롯데카드 등 통신사와 금융사에 대한 잇따른 해킹 공격으로 3000만명이 넘는 개인정보가 새 나가면서 ‘내 정보가 언제든지 탈취될 수 있다’는 불안감이 커지고 있다. 사이버 보안업계 등에서 활동 중인 7명의 화이트해커는 25일 서울신문과의 대면·전화 인터뷰에서 “해킹으로 빼낸 개인정보가 다크웹 등에서 흔하게 거래되고 있고, 해킹 툴을 판매하는 이들도 있다”며 “누구나 해킹을 시도할 수 있어 전문가만 해킹한다는 것도 옛말”이라고 했다. 이들은 최근 해킹 공격의 특징으로 크게 ▲AI를 동원해 취약 시스템을 신속 공격하고 ▲내부망을 장악한 뒤 장기간 은닉해 내부 시스템에서 권한을 키우는 방식을 쓰며 ▲해킹 툴 확산으로 비전문가 해킹까지 늘어나고 있다는 점을 꼽았다. 백모(19)씨는 “AI 등장 전에는 공격자인 해커(사람)가 몇 달 동안 기관이나 기업 프로그램의 취약점을 하나하나 분석했다면, 지금은 AI를 활용해서 하루 만에 이를 끝낸다”고 했다. 기업이 보안 프로그램을 업데이트하기 전에 재빨리 취약 고리를 뚫고 내부망을 장악할 수 있다는 것이다. 특히 이렇게 내부망을 장악한 이후 해커들은 길게는 몇 개월 넘게 ‘잠복’하며 시스템 권한을 하나씩 장악해 간다고 한다. 최모(19)씨는 “정상적으로 시스템이 돌아가는 것처럼 보이게 해 안심시킨 뒤 서서히 내부망 접근 권한을 키워나간다”고 했다. 박모(22)씨도 “오랜 기간 권한을 늘려 대량의 정보를 탈취하는 게 해커들의 목적”이라며 “그만큼 은닉 기술이 고도화되고 있다”고 전했다. 범죄에 악용되는 해킹툴을 다크웹에서 손쉽게 구할 수 있단 점도 문제다. 김모(24)씨는 “악의적으로 해킹하겠다는 마음만 먹으면 프로그램 코드 작성 지식조차 없는 이들도 툴에 따라 국내 기업의 보안망을 뚫을 수 있다”며 “기업이 보안 프로그램 업데이트조차 제때하지 않기 때문에 가능한 일”이라고 강조했다. 화이트해커들은 이번 KT, 롯데카드 해킹 사태도 기업들의 안일한 보안 의식이 불러온 결과라고 입을 모았다. 임모(26)씨는 “롯데카드의 경우 2017년에 드러난 취약점인데 그 사이 보안 소프트웨어 업데이트를 제대로 하지 않아 발생한 것”이라며 “시스템 중단 우려에 업데이트를 미루고 보안 소프트웨어의 외주화 등이 맞물려 일어나는 일”이라고 말했다. 이모(20)씨도 “공격하는 해커들 입장에서 ‘가성비’를 따지면 한국 기업만 한 곳이 없다”며 “탈취할 정보는 많은데, 보안은 취약해 뚫기 쉬우니 지속적으로 공격 대상이 될 수 있다”고 지적했다.

“요즘 해킹은 인공지능(AI)까지 동원해 취약한 고리를 빠르고 집요하게 뚫어내는데, 기업들의 보안 수준과 의식은 2000년대 초반에 머물러 있으니 사고가 날 수밖에 없죠.”(27세 화이트해커 김모씨) SKT, KT, 롯데카드 등 통신사와 금융사에 대한 잇따른 해킹 공격으로 3000만명이 넘는 개인정보가 새 나가면서 ‘내 정보가 언제든지 탈취될 수 있다’는 불안감이 커지고 있다. 사이버 보안업계 등에서 활동 중인 7명의 화이트해커는 25일 서울신문과의 대면·전화 인터뷰에서 “해킹으로 빼낸 개인정보가 다크웹 등에서 흔하게 거래되고 있고, 해킹 툴을 판매하는 이들도 있다”며 “누구나 해킹을 시도할 수 있어 전문가만 해킹한다는 것도 옛말”이라고 했다. 이들은 최근 해킹 공격의 특징으로 크게 ▲AI를 동원해 취약 시스템을 신속 공격하고 ▲내부망을 장악한 뒤 장기간 은닉해 내부 시스템에서 권한을 키우는 방식을 쓰며 ▲해킹 툴 확산으로 비전문가 해킹까지 늘어나고 있다는 점을 꼽았다. 백모(19)씨는 “AI 등장 전에는 공격자인 해커(사람)가 몇 달 동안 기관이나 기업 프로그램의 취약점을 하나하나 분석했다면, 지금은 AI를 활용해서 하루 만에 이를 끝낸다”고 했다. 기업이 보안 프로그램을 업데이트하기 전에 재빨리 취약 고리를 뚫고 내부망을 장악할 수 있다는 것이다. 특히 이렇게 내부망을 장악한 이후 해커들은 길게는 몇 개월 넘게 ‘잠복’하며 시스템 권한을 하나씩 장악해 간다고 한다. 최모(19)씨는 “정상적으로 시스템이 돌아가는 것처럼 보이게 해 안심시킨 뒤 서서히 내부망 접근 권한을 키워나간다”고 했다. 박모(22)씨도 “오랜 기간 권한을 늘려 대량의 정보를 탈취하는 게 해커들의 목적”이라며 “그만큼 은닉 기술이 고도화되고 있다”고 전했다. 범죄에 악용되는 해킹툴을 다크웹에서 손쉽게 구할 수 있단 점도 문제다. 김모(24)씨는 “악의적으로 해킹하겠다는 마음만 먹으면 프로그램 코드 작성 지식조차 없는 이들도 툴에 따라 국내 기업의 보안망을 뚫을 수 있다”며 “기업이 보안 프로그램 업데이트조차 제때하지 않기 때문에 가능한 일”이라고 강조했다. 화이트해커들은 이번 KT, 롯데카드 해킹 사태도 기업들의 안일한 보안 의식이 불러온 결과라고 입을 모았다. 임모(26)씨는 “롯데카드의 경우 2017년에 드러난 취약점인데 그 사이 보안 소프트웨어 업데이트를 제대로 하지 않아 발생한 것”이라며 “시스템 중단 우려에 업데이트를 미루고 보안 소프트웨어의 외주화 등이 맞물려 일어나는 일”이라고 말했다. 이모(20)씨도 “공격하는 해커들 입장에서 ‘가성비’를 따지면 한국 기업만 한 곳이 없다”며 “탈취할 정보는 많은데, 보안은 취약해 뚫기 쉬우니 지속적으로 공격 대상이 될 수 있다”고 지적했다.

KT 무단 소액결제 피해 지역이 당초 알려진 곳 외에 서울 서초구·동작구, 경기 고양시 일산동구 등에서도 발생했던 사실이 뒤늦게 파악됐다. 서울 서남권과 인근 경기 지역에 집중됐던 것으로 파악됐던 무단 결제 피해가 서로 떨어진 지역에서도 확인됨에 따라 KT 소액결제 이용자에 대한 전수조사 및 수사 확대 필요성이 커졌다. 20일 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에게 제출한 인증 시간 기준 피해 지역 자료에 따르면 알려진 곳들 외에도 서울 동작구, 서초구, 고양시 일산동구, 영등포구 등이 포함됐다. 동작·관악·영등포·서초·광명·금천·일산동구·과천·부천소사·부평 KT는 처음 피해가 발생한 시점을 8월 5일로 파악했는데 이때부터 8일까지 나흘간 서울 동작구, 관악구, 영등포구 일대에서 15명이 26차례에 걸쳐 962만원의 피해를 봤다. 범행을 저지른 이들은 8일, 그리고 주말을 건너뛴 11일 이틀에 걸쳐서는 서울 서초구에서 3명을 상대로 모두 6차례에 걸쳐 무단으로 소액결제 227만원을 가로챘다. 12~13일에는 경기 광명시에서, 15일에는 서울 금천구, 20일 경기 고양시 일산동구, 21일 경기 과천시에서 무단 소액결제 범행을 이어갔다. 나흘간 범행을 잠시 멈춘 뒤 26일부터 기존에 알려진 대로 금천구, 광명시, 경기 부천시 소사구·부평구 등에서 다시 활동했다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실들도 많은데 이제야 찔끔찔끔 주요 정보를 내놓는 것이 이해되지 않는다”고 비판했다. 심지어 KT 무단 소액결제 사건이 처음 알려진 9월 4일과 5일에도 100건 가까운 무단 결제가 있었던 것으로 나타났다. 비정상적인 결제 시도를 KT가 차단하기 직전까지 무단 소액결제가 상당 규모 진행된 것이다. 최초로 알려진 4일 이용자 36명에게서 36건의 피해(2499만원)가 있었고, 5일 11명이 14건(550만원) 무단 소액결제 피해를 봤다. 패스앱·카카오톡 무단 접속 피해 제보도…KT 소극대응 논란 KT는 4일과 5일에 피해 건수가 없었다고 국회에 보고한 바 있다. 이후 1차 발표에서 피해자 수를 278명으로 집계했다가 4일과 5일 피해를 뒤늦게 포함해 362명으로 정정했다. 피해 건수는 1차 집계 당시 527건에서 764건으로 늘었다. KT는 “5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다”고 밝혔다. KT 피해 현황이 초기 발표에서 점점 확대되는 것은 당초 자의적으로 자동응답전화(ARS)에 국한해 피해를 파악하고 소극적으로 대응하기 때문이라는 지적이 끊이지 않고 있다. KT는 해킹범이 피해자들의 휴대전화로 갔어야 할 ARS 신호를 탈취해 소액결제에 성공한 사례에만 주목해 피해 현황을 ARS 수신 상황만 따져 집계하고 있다. 그러나 연합뉴스에 따르면 이 사건을 최초로 제보한 경기 광명시의 A씨는 자신이 진행하지 않은 패스(PASS) 인증을 제삼자가 한 기록이 남아있다고 전했다. 또 카카오톡 무단 로그인을 겪은 피해자들도 있었다. 해킹범이 ARS 신호 탈취 외에 다른 범행 수법도 썼을 가능성까지 KT가 고려했어야 하는 것 아니냐는 지적이다. 황 의원은 “KT 해킹 사태의 전모가 밝혀지면 밝혀질수록 KT가 거짓 변명만 늘어놓았다는 사실이 드러나고 있다”면서 “지금이라도 소액결제가 이뤄진 모든 고객에게 직접 결제 현황을 고지하고 피해 전수조사에 나서야 한다”고 촉구했다. 그러면서 “고의적 축소 은폐 시도를 반복한 KT에 대해서는 SKT 때보다 더 강력한 제재와 함께 피해 배상 강제가 이뤄져야 한다”고 강조했다.

SK텔레콤 유심 해킹 사고로 피해를 본 가입자들이 제기한 손해배상 청구 집단소송에서 SKT 측이 “원고의 청구를 기각해달라”는 답변서를 법원에 제출했다. 15일 법무법인 대륜에 따르면 SKT는 지난 3일 서울중앙지법에 ‘원고의 청구를 모두 기각하고 소송비용을 원고가 부담한다’는 내용으로 손해배상 청구에 관한 답변서를 제출했다. 대륜은 SKT 유심 해킹 사고로 피해를 본 용자 250여명을 대리해 SKT에 1인당 위자료 100만원을 청구하는 소송을 제기했다. 답변서에서 SKT는 구체적 반박을 유보했다. 개인정보 보호법 위반 여부와 관련해 개인정보위원회의 의결이 있었지만, 의결서가 송달되지 않아 구체적 이유를 확인하지 못했다는 이유다. SKT 측은 ‘이 사건에서 다투는 사실관계와 쟁점이 확인되는 대로 준비서면을 통해 상세하게 의견을 개진하겠다’라고 밝혔다. SKT가 방송통신위원회의 가입자 해지 위약금 면제 기간 연장 권고를 받아들이지 않은 데 이어 손해배상 청구도 거부하면서 해킹으로 피해를 본 소비자에 대한 보상을 외면한다는 지적도 나온다. 앞서 방송통신위원회 분쟁조정위원회는 SKT에 약정 해지 위약금 면제 기간을 올해 말까지 연장하라고 권고했다. SKT는 지난 7월 4일 열흘 뒤까지 약정을 해지한 고객은 위약금을 면제하겠다고 발표했는데, 마감 시한이 너무 짧아 소비자가 충분히 인지하기 어려웠다는 이유다. 그러나 SKT가 회신 기한 내에 의견서를 내지 않으면서 자동으로 권고를 받아들이지 않게 됐다. 손해배상 집단소송을 이끄는 대륜 특별수행본부(조영곤·여상원·김명철 변호사)는 “SKT가 과징금 1348억 원을 부과받고도 고객 피해에는 책임 있는 태도를 보이지 않는 것”이라며 “이번 소송을 통해 개인정보 보호를 기업 경영의 최우선 가치로 삼는 계기를 마련하고, 기업의 무책임에 경종을 울리겠다”라고 밝혔다.

SK텔레콤의 ‘유심 해킹’ 사태 이후 통신업계가 잇달아 대규모 보안 투자 계획을 발표했지만, KT의 소액결제 해킹 사태를 계기로 근본적인 대책 마련이 필요하다는 지적이 나온다. 14일 업계에 따르면 지난 7월부터 이동통신 3사는 SK텔레콤의 ‘유심 해킹 사태’를 계기로 앞다퉈 개인정보 보호 수준을 강화하고 보안 인력을 확충하는 내용의 대규모 투자 대책을 발표했다. 가장 먼저 보안 문제가 터진 SK텔레콤은 지난 7월 민관 합동조사단의 조사 결과 발표 직후 기자회견을 열고 향후 5년 동안 보안 분야에 약 7000억원을 투자하는 정보보호 혁신안을 내놓았다. 고초를 겪은 SK텔레콤이 선제적인 보안 투자에 나서자 KT와 LG유플러스 역시 비슷한 수준으로 보안 투자액을 늘렸다. KT는 SK텔레콤의 발표 이후 약 열흘 뒤 ‘향후 5년간 1조원 이상 투자’를 핵심 내용으로 하는 정보보호체계 혁신안을 내놨고, LG유플러스 역시 ‘보안 전략 기자간담회’를 별도로 열어 7000억원의 투자 계획을 발표했다. 그러나 불과 한 달여만에 KT의 소액결제 해킹 사태가 발생하면서 통신업계가 자랑한 ‘역대 최대 규모’의 투자가 무색해졌다는 평가다. 통신업계가 보안 문제를 주요 경영 리스크로 인지한 시점 자체가 늦었고, 무작정 투자와 인력만을 늘리는 사후약방문식의 대응은 근본 해결책이 아니라는 지적도 나온다. 염홍열 순천향대 정보보호학과 교수는 “KT의 소액결제 해킹 방식으로 지목된 ‘팸토셀 해킹’은 이미 해외에서 발생했던 사례이고, 2014년 학계의 우려가 나왔음에도 적절한 조치가 안 된 점을 감안하면 국제 사이버 해킹 조직의 ‘공격력’에 비해 우리나라의 수비 대응 체계가 약했던 것”이라며 “진화하는 해커에 대응하기 위해서라도 한 기업의 보안 문제를 다른 업계와 학계, 정부가 공유하는 민관학 차원의 협의체가 필요하다”고 말했다.

배경훈 과학기술정보통신부 장관이 KT 무단 소액결제와 SKT 개인정보 유출 등 잇따르는 통신사 해킹 사태에 대해 “기존보다 반걸음, 한걸음 빠른 대응책을 고민해 해결책을 찾아나가겠다”고 밝혔다. 배 장관은 지난 12일 서울 광화문에서 열린 ‘취임 50일 기자 간담회’에서 반복되는 통신사 사이버 침해 사고에 높아지는 국민 불편·우려에 대한 입장을 묻는 말에 이렇게 답했다. 그는 최근의 KT 사이버 침해 사건에 대해 “(사건 발생 시기로 알려진) 8월 22일 이전부터 문제가 됐던 것들이 지금 터지는 것 아닌가 해서 종합적인 연관 관계를 분석 중”이라고 밝혔다. LG AI연구원장 출신으로 인공지능(AI) 전문가인 배 장관은 “AI에 관심을 가지는 것 이상으로 정보 보호 체계에 대한 관심을 많이 갖고 있으며, AI 대전환 시대에 앞서서 우리가 반드시 해결해야 하는 문제가 해킹 이슈라고 본다”고 강조했다. 그러면서 “AI를 악용한 해킹 기술이 발전하는 상황에서 근본적인 대책을 세워야 하는데 거기에 대한 준비가 되어 있는가에 대한 고민이 매우 많다”고 했다. 이어 “정보 보호 대전환 체계를 만드는 것이 매우 중요하며 류제명 2차관을 단장으로 정보 보호 대응 태스크포스(TF) 팀을 꾸려 할 수 있는 최대한의 대응을 해보고자 한다”고 덧붙였다. 사이버 침해를 당한 기업이 당국에 신고하지 않으면 당국 개입이 어려운 현행 제도 개선 필요성도 언급했다. 정보통신망법은 정보통신 서비스 제공자가 침해 사고를 인지하면 24시간 이내에 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고하고 위반 시 3000만원 이하의 과태료를 내도록 규정하고 있다. 하지만 당국의 내부 정보 접근 등을 우려한 기업들이 침해당하고도 ‘쉬쉬’하면서 사이버 보안 역량이 약화하는 상황이 지적돼왔다. 배 장관은 “신고 이후에 당국이 조사할 수 있는 지금 체계를 바꾸기 위해서 국회와 소통 중”이라며 “통신사들도 정부를 믿고 문제가 생겼을 때 바로 신고하거나 상의할 수 있어야 할 것”이라고 말했다. 아울러 휴대전화 출시 단계에서 해킹 예방 애플리케이션 설치, 통신망 차원의 스미싱 차단, 국가적 차원의 화이트해커 육성 등 별도 대책 마련도 언급했다.

10년째 KT를 이용하고 있는 직장인 황모(33)씨는 최근 KT를 이용하는 고객들의 핸드폰에서 무단으로 소액결제 피해가 이어진다는 소식을 듣고 무력감을 느꼈다. 12일 황씨는 서울신문과의 인터뷰에서 “어차피 소규모 웹사이트들에서 개인정보 유출이 여러 번 일어나서 내 개인정보는 안전하지 않다”며 “워낙 이런 일이 많으니까 통신사도 바꿔봤자 소용이 없을 것 같고 내가 할 수 있는 일도 없다”고 했다. 최근 KT 소액 결제 사태가 커지면서 고객들은 ‘별수 없다’며 체념하거나 예방책을 찾고 있다. 지난달 말부터 특정 지역의 KT 이용자들이 자신도 모르게 휴대전화 소액결제 피해를 봤다는 신고가 접수돼 경기남부경찰청이 수사 중인 가운데 정부는 피해액이 1억 7000만원에 달하는 것으로 파악했다. 이 사건에 대해 민관 합동 조사단을 꾸린 과학기술정보통신부는 지난 10일 기준 피해 건수는 278건, 피해 금액은 1억7000여만원이라고 밝혔다. 지난 4월 일어난 ‘SKT 유심 해킹 사태’로 통신업계가 한차례 곤욕을 겪은 지 불과 5개월만에 사이버 침해로 인한 피해가 발생한 것인데 일부 고객들은 지금에서야 알게 된 것이 당혹스럽다는 반응이다. 8년째 KT를 쓰고 있는 한모(26)씨는 “경찰에서 수사 중이었다면 원인이랑 대처법을 모든 고객에게 빠르게 안내해야 하는거 아닌가”라고 했다. 직장인 정모(31)씨 역시 “감추려고 쉬쉬하지 말고 피해를 본 고객들에겐 충분한 보상을 해야 반성하고 있다는 생각이 들 것”이라고 했다. KT 이용자들은 자체적으로 예방책을 찾고 있다. 휴대폰 소액 결제 한도를 차단하거나 결제 알림을 켜두고, 2단계 인증 등 추가 보안 조치를 하는 것이다. 박모(26)씨는 “뉴스를 보자마자 소액 결제를 막아뒀다”며 “안전한 통신사는 없고 안 걸린 통신사만 있다는 배신감마저 든다”고 했다.

SK텔레콤이 방송통신위원회 통신분쟁조정위원회의 ‘위약금 면제 연장’ 권고를 받아들이지 않기로 했다. 4일 통신업계에 따르면 SK텔레콤은 전날까지인 분쟁조정위 회신 기한 내 의견서를 제출하지 않아 권고를 자동 수락하지 않게 됐다. 지난달 분쟁조정위는 SK텔레콤 이용자가 올해 안에 이동통신 서비스를 해지할 경우 해지 위약금을 전액 면제하고, 유선 인터넷·인터넷TV(IPTV) 등 결합상품 해지 시 위약금(할인반환금)의 50%를 지급하라는 직권 조정을 내린 바 있다. 특히 지난 7월 14일 이후 해지를 신청한 경우에도 위약금을 면제하도록 권고했다. SK텔레콤 관계자는 “분쟁조정위 결정에 대해 깊이 있게 검토했으나 회사에 미치는 중대한 영향과 유사 소송 및 집단 분쟁에 미칠 파급 효과 등을 종합적으로 고려해 수락이 어렵다고 결론 내렸다”고 밝혔다. 앞서 SK텔레콤은 지난 4월 발생한 사이버 침해 사고로 소비자 보상금 5000억원, 정보보호 투자 7000억원 등 1조원이 넘는 지출을 확정했다. 다만 위약금 면제 규모는 공개되지 않았다. 

SK텔레콤이 방송통신위원회 통신분쟁조정위원회의 ‘위약금 면제 연장’ 권고를 받아들이지 않기로 했다. 4일 통신업계에 따르면 SK텔레콤은 전날까지인 분쟁조정위 회신 기한 내 의견서를 제출하지 않아 권고를 자동 수락하지 않게 됐다. 지난달 분쟁조정위는 SK텔레콤 이용자가 올해 안에 이동통신 서비스를 해지할 경우 해지 위약금을 전액 면제하고, 유선 인터넷·인터넷TV(IPTV) 등 결합상품 해지 시 위약금(할인반환금)의 50%를 지급하라는 직권 조정을 내린 바 있다. 특히 지난 7월 14일 이후 해지를 신청한 경우에도 위약금을 면제하도록 권고했다. SK텔레콤 관계자는 “분쟁조정위 결정에 대해 깊이 있게 검토했으나 회사에 미치는 중대한 영향과 유사 소송 및 집단 분쟁에 미칠 파급 효과 등을 종합적으로 고려해 수락이 어렵다고 결론 내렸다”고 밝혔다. 앞서 SK텔레콤은 지난 4월 발생한 사이버 침해 사고로 소비자 보상금 5000억원, 정보보호 투자 7000억원 등 1조원이 넘는 지출을 확정했다. 다만 위약금 면제 규모는 공개되지 않았다. 직권 조정은 양측이 모두 수락해야 성립되며, 한쪽이라도 거부하면 불성립으로 종결된다.

지난달 소비자물가가 1년 전보다 1.7% 오르며 9개월 만에 가장 낮은 상승률을 기록했다. SK텔레콤이 해킹 사태로 휴대전화 요금을 반짝 할인한 영향이다. 이런 가운데 불볕더위 영향으로 농축수산물 물가는 13개월 만에 최대 폭 올랐다. 만약 SK텔레콤 해킹 사태가 없었다면 물가 상승률은 2.3%로, 13개월 만에 가장 큰 폭으로 뛰었을 것으로 분석된다. 통계청이 2일 발표한 ‘8월 소비자물가동향’에 따르면 지난달 소비자물가지수는 116.45(2020년=100)로 1년 전보다 1.7% 올랐다. 지난해 11월(1.5%) 이후 최소 증가폭이다. 핵심 요인은 통신비였다. 휴대전화 요금이 1년 전보다 21.0% 떨어지면서 물가를 끌어내렸다. SK텔레콤이 가입자 엑소더스를 막기 위해 2000만명 이상에게 한 달간 요금을 50% 감면한 영향이다. 이는 코로나19 때 전 국민 통신비 2만원 지원이 이뤄졌던 2020년 10월(21.6%) 이후 최대 낙폭이다. 휴대전화 요금을 포함한 공공서비스 요금은 3.6% 내렸고, 전체 물가를 0.42%포인트 낮췄다. 통신료가 전월과 같았다면 전체 물가상승률은 2.3%로, 지난해 7월 이후 최대폭이었을 것이라는 게 통계청 설명이다. 이두원 통계청 경제동향통계심의관은 “휴대전화료가 원래 가격으로 돌아오면 9월엔 상승 요인이 될 수 있다”고 말했다. 먹거리 물가는 크게 올랐다. 농축수산물 가격이 4.8% 올라 지난해 7월 이후 최대폭 상승했다. 수산물(7.5%)·축산물(7.1%)·농산물(2.7%) 모두 뛰었다. 수산물은 2년 6개월 만에, 축산물은 2년 2개월 만에 최대폭이었다. 국산 쇠고기는 6.6%, 돼지고기는 9.4% 뛰며 각각 3년 7개월, 3년 1개월 만의 최고 상승률을 기록했다. 김웅 한국은행 부총재보는 물가상황점검회의에서 “농축수산물 가격이 뛰었지만 낮은 수요 압력과 국제유가 안정 등을 고려하면 소비자물가는 당분간 2% 안팎의 상승세를 이어갈 것”이라고 전망했다.

SK텔레콤에 이어 KT와 LG유플러스까지 수개월간 해킹을 당한 정황이 드러나 정부가 조사에 나섰다. 과학기술정보통신부는 1일 “KT와 LG유플러스의 해킹 침해 사고 여부 확인을 위해 현장 점검을 하고 자료를 제출받아 정밀 포렌식 분석 중”이라고 밝혔다. 류제명 과기정통부 2차관은 이날 국회 과학기술정보방송통신위원회에서 “다크웹에 두 회사가 보유한 내용(데이터)이 올라온 것을 확인했다”고 밝혔다. 최민희 국회 과방위원장이 “KT는 서버가 파기됐다고 들었다”고 묻자, “그 사실도 확인했다. (해킹 흔적을 없애기 위해 파기했는지 여부는)확인해봐야 한다”고 답했다. 앞서 8월 초 미국의 해킹 전문지 ‘프랙 매거진’이 공개한 보고서에 따르면 화이트해커 두 명이 “‘KIM’이라는 공격자로부터 8GB(기가바이트)에 이르는 한국 기관·기업 유출 데이터를 확보했다”며 목록을 제보했다. KT에선 SSL(보안 인증서) 키 유출 정황이 발견됐다. LG유플러스에선 패스워드 관리 시스템(APPM) 소스 코드와 데이터, 8938개 서버 정보 등이 유출된 것으로 알려졌다. 행정안전부 행정전자서명(GPKI) 인증서와 외교부 메일 서버 소스 코드, 통일부·해양수산부의 업무관리시스템 소스 코드도 유출 목록에 포함됐다. KT와 LG유플러스는 앞서 자체 조사 등을 통해 “침투 흔적이 발견되지 않았다”고 밝힌 바 있다. 또 정부의 조사에도 적극 협조하고 있다고 밝혔다. 한편 롯데카드에서도 온라인 결제 서버 해킹으로 고객 정보가 유출된 정황이 포착돼 금융감독원이 현장 검사에 나섰다. 지난달 14~15일 1.7GB 규모의 내부 파일이 반출됐다. 롯데카드는 해킹 17일 만에 피해 사실을 파악했다.

위반 기간 2년 이상 길어져 가중통지 늦춰 2차 피해 예방 어려워당혹한 SKT… 행정소송 등 고심 2300만여명의 전체 가입자 개인정보가 유출된 SK텔레콤 해킹 사태에 대해 개인정보보호위원회가 역대 최대 규모인 1348억원의 과징금을 부과했다. SK텔레콤은 무거운 책임감을 가진다면서도 당혹스러움을 감추지 못했다. 내부적으로는 행정소송 등도 고심하는 분위기다. 개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 과징금 1347억 9100만원과 과태료 960만원을 각각 부과했다고 28일 밝혔다. 개인정보위는 SK텔레콤의 전체 이동통신서비스 매출액을 기준으로 과징금을 산정했으며, 다수의 안전조치의무 위반 사항이 유출 사고의 직접적인 원인이 된 점 등을 고려해 ‘매우 중대한 위반행위’로 판단했다고 설명했다. 위반행위 기간이 2년 이상 지속된 점은 가중됐고, 위반행위를 시정하고 피해 복구를 위해 노력한 점은 감경 적용했다고 덧붙였다. 개인정보위에 따르면 이번 해킹 사고로 유출된 정보는 SK텔레콤의 LTE·5G 서비스 전체 이용자 2324만 4649명(알뜰폰 포함)의 휴대전화번호와 가입자식별번호(IMSI), 유심 인증키 등 25종의 정보다. 위원회는 모바일 시대에 휴대전화번호는 개인을 식별할 수 있는 중요한 개인정보에 해당한다고 봤는데 SK텔레콤은 유출된 정보 외에도 이름, 주소, 서비스 이용 기록 등 이용자 개인정보를 함께 보유·관리해 언제든지 서로 결합하면 개인을 알아볼 수 있다고 판단했다. 또 정당한 사유 없이 유출 통지를 지연해 2차 피해 예방을 어렵게 했다며 통지 의무를 위반했다고 봤다. SK텔레콤은 이번 결과에 대해 “무거운 책임감을 갖고 있다”면서도 “조사와 의결 과정에서 당사의 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라고 밝혔다. 법적 대응 여부에 대해서는 “향후 의결서 수령 후 내용을 면밀히 검토해 입장을 정하겠다”고 했다. 개인정보위 처분에 대해서는 의결서를 받은 뒤 90일 이내에 행정심판이나 행정소송을 제기할 수 있다. 업계에서는 과징금 기준이 매출액의 3% 이내로 1000억원대에서 많게는 3000억대까지 나올 수 있다고 봤던 만큼 대체로 예상한 수준이라고 봤다. SK텔레콤 내부적으로는 피해자 구제와 재발 방지 대책을 내놓은 점을 감안해 1000억원 이내 과징금이 나올 경우 수용할 수 있다는 분위기였던 것으로 전해진다. 그러나 기존 최대 과징금이었던 구글과 메타 사례(총 1000억원)를 훌쩍 뛰어넘는 규모의 과징금이 나오자 일각에선 형평성에 맞지 않는다는 목소리도 나온다. 일례로 해킹을 당해 개인정보가 유출된 사업자를 영리 목적으로 이용자 정보를 동의 없이 수집해 광고에 활용한 사업자(구글·메타)보다 무겁게 제재하는 것은 불합리하다는 것이다. SK텔레콤은 사고 직후 이상거래탐지시스템(FDS), 유심 무상 교체, 유심 보호 서비스 제공 등 잠재적 피해를 사전에 차단하는 고객 보호 조치를 실행했고, 현재까지 직간접적인 고객 피해 사례가 보고되지 않았다는 점도 강조했다.

SK텔레콤이 해킹 사고에 따른 위약금 면제 시한을 지난달 14일까지로 제한한 것은 잘못됐다는 판단을 방송통신위원회가 내렸다. 또 “SKT와 BTV 등 유무선 결합상품 가입 고객이 서비스를 해지할 때도 위약금의 절반을 깎아주라”는 결정도 내려졌다. 방송통신위원회 통신분쟁조정위원회는 21일 “SKT는 이동통신 서비스 해지 위약금을 연말까지 전액 면제하라”는 결정을 내렸다. SKT가 해지 위약금 면제 기한을 지난달 14일까지로만 정한 것은 부당하다는 내용의 분쟁조정 신청에 대한 ‘직권조정 결정’이다. 위원회는 “7월 4일 위약금 면제 발표 이후 14일까지로 정해진 마감 시한이 상당히 짧았고, 문자 안내 1회로는 바로 인지하기 어려웠다”고 설명했다. 통신·인터넷·TV 등 유무선 서비스 결합상품 고객이 ‘위약금 없는 해지’를 요구하며 제기한 분쟁조정신청에 대해선 “위약금의 50%를 SKT가 부담해야 한다”고 결정했다. 위원회는 “SKT 해킹 사고와 유선 서비스 중도 해지에 따른 위약금 발생은 인과관계에 있는 손해이며, 유무선 서비스가 실질적으로 하나의 상품처럼 판매되는 측면이 있다”고 설명했다. 통신분쟁조정위는 법률 및 정보통신 전문가, 소비자단체 관계자 등으로 꾸려진 방통위 산하 법정기구로 결정에 법적 강제성은 없지만 당사자가 불복하면 소송 절차가 진행될 수 있다. 직권 조정 결정은 당사자가 모두 수락해야 성립된다. SKT 관계자는 “직권 조정안을 면밀히 검토해 대응할 계획”이라고 말했다. 업계에선 SKT가 가입자 대규모 이탈과 실적 악화 우려로 조정 내용을 받아들이기 어려울 거란 전망이 우세하다. 이런 가운데 개인정보보호위원회(개보위)는 SKT 제재안을 27일 전체회의에 부치기로 했다. 개보위는 개인정보보호법 위반 혐의에 대한 과징금을 매출액의 3% 이내에서 부과할 수 있다. 지난해 SKT의 무산통신 매출액이 12조 7700억원이었다는 점을 고려하면 최대 3800억원대에 이를 수 있다. 다만 SKT가 피해자 구제에 나서고 재발 방지 대책을 마련한 점이 반영되면 1000억원 안팎까지 줄어들 여지는 있다.

인공지능(AI)이 상상 이상의 속도로 발전해 사회 전반을 빠르게 재편하는 ‘AI 대전환 시대’에 서 있다. 산업 자동화는 물론 수업방식, 금융자산 관리, 신약 개발, 의료 진단에 이르기까지 모든 영역에서 혁신을 창출하고 있다. 이재명 대통령이 AI 3대 강국 도약을 국정 핵심 기조로 제시한 것도 이런 흐름에 선제적으로 대응하기 위함이다. AI 진보와 함께 사이버 위협 또한 빠르게 진화하고 있다. 인터넷에 연결된 모든 사물이 공격 대상이 됐으며, 생성형 AI를 악용해 정교한 피싱 메일을 생성하는 등 해킹 지식 없이도 누구나 해커가 될 수 있는 시대가 도래했다. 최근 SKT 해킹을 비롯해 플랫폼, 명품 업체 등 분야를 막론한 다양한 업종이 공격의 표적이 되고 있다. 사이버 위협은 국가 안보에도 중대한 도전이다. 물리적 교전과 함께 국가 핵심 인프라를 겨냥한 사이버공격이 조직적으로 동반되고 있다. 사이버 공간이 전장의 일부가 되는 새로운 안보 지형이 형성된 것이다. 사이버 위협이 고도화하는 상황에서 AI 강국으로 도약하기 위한 필수 전제는 정보보호다. 이 대통령은 제14회 정보보호의 날 기념식에서 “체계적인 정보보호, 튼튼한 사이버 보안이 뒷받침된다면 AI 3대 강국은 대한민국의 현실이 될 것”이라고 강조했다. AI와 정보보호는 함께 가야 한다. AI가 창출하는 가치와 혁신은 견고한 정보보호 없이는 지속될 수 없다. 과학기술정보통신부는 안전한 AI 시대를 준비하기 위해 민관 역량을 결집해 보안 체계의 대전환을 추진하고자 한다. AI 시대로 본격 진입하기 전인 지금이야말로 국가 핵심 산업의 보안 취약점과 정보보호 수준을 자세히 점검하고 보안 위협에 대한 대응 역량을 갖출 적기다. 과기정통부는 기업이 자체적으로 보안 역량을 점검하고 개선할 수 있도록 공시 제도 내실화, 정보보호 최고책임자 권한 확대 등 제도적 뒷받침을 추진할 것이다. 보안이 취약한 지역, 중소기업 등 사각지대 해소도 과제다. 지난해 침해사고 신고 중 중소기업이 94%를 차지했다. 이에 정보보호 지역센터를 확대해 지역의 사고 대응을 밀착 지원하고 컨설팅을 통해 중소기업의 보안 수준을 끌어올릴 것이다. 아울러 피싱, 스미싱 등 디지털 기술을 악용한 민생 범죄를 근절해 나갈 것이다. 악성 URL이 포함된 문자를 발송 단계에서 차단하는 시스템을 확산하고 휴대전화 부정 개통 방지를 위한 안면인식 시스템을 도입해 나갈 것이다. 국가 정보보호 강화를 위한 제도 정비도 추진한다. 데이터 보호를 위해 보안 의무가 부여되는 주요 인프라를 네트워크 중심에서 중요 데이터 관련 시설로 확대한다. 아울러 정보보호 인증이 현장에서 작동될 수 있도록 심사와 사후 관리를 강화한다. 정보보호산업 육성에도 박차를 가할 것이다. 양자내성암호 등 보안기술에 대한 투자, 전문 인력 양성 등 정보보호산업이 국가 미래를 지키는 전략 산업으로 도약하도록 적극 지원할 것이다. 정보보호는 사회 구성원 모두가 책임 의식을 갖고 실천해야 비로소 완성될 수 있다. 업계에서는 보안을 비용이 아닌 투자로 인식해 자발적인 역량 강화에 힘써야 한다. 개인도 주기적인 비밀번호 변경, 수상한 링크 클릭 금지 등 자신을 지키는 노력이 필요하다. 7월은 정보보호의 달이다. 사이버 보안이 자신은 물론 기업과 국가를 지키는 일이라는 마음가짐으로 정보보호의 중요성을 다시금 되새기는 계기가 되길 바란다. 과기정통부도 AI 시대, 국민이 신뢰할 수 있는 디지털 안심국가 구현을 위해 총력을 기울일 것이다. 류제명 과학기술정보통신부 제2차관