[비즈니스포스트] '지난 4월18일 23시20분 SK텔레콤은 평소 대비 대용량 데이터가 외부로 전송된 정황을 인지하고, 4월20일 16시46분 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 과학기술정보통신부는 SK텔레콤의 유심정보 유출을 중대한 침해사고로 판단하고…."

과학기술정보통신부 민관합동조사단의 'SK텔레콤 침해사고 최종 조사결과 발표' 보도자료 들머리다.

오는 18일은 SK텔레콤 통신망 해킹 및 개인정보 유출 사태가 불거진 지 1년째 되는 날이다. 지난해 벚꽃이 만개했다가 지기 시작할 때 불거졌는데, 그 벚꽃이 다시 피었다 지고 있다.

하지만 SK텔레콤이 통신망 보안을 소홀히 해 국가 기간통신망을 해커 손에 넘어가게 하고, 2300만 가입자의 개인정보를 유출시킨 것에 대한 책임과 행정 처벌 절차는 아직 끝나지 않았다.

경찰과 과기정통부의 '능력 부족'으로 늦어지고 있는 것인지 알 수 없지만, 아무튼 사태 발생 1년이 다 돼가도록 마무리되지 못하고 있다.

개인정보 유출 피해자에 대한 보상 역시 SK텔레콤의 소극적 태도로 제대로 이뤄지지 못했다.

과기정통부는 지난해 7월4일 SK텔레콤 통신망 해킹 사건에 대한 최종 조사 결과를 발표하며 "SK텔레콤이 정부의 자료보전 명령을 어기고 서버 2대를 포렌식 분석이 불가능한 상태로 만들어 민관합동조사단에 제출했다. 수사기관에 수사를 의뢰할 예정"이라고 밝혔다.

류제명 과기정통부 차관(당시는 네트워크정책실장)은 보안을 소홀히 한 SK텔레콤에 대한 행정처분 여부 및 수위와 관련해 "수사의뢰 건에 대한 경찰 조사 결과 등을 함께 보며 결정하겠다"고 말했다.

수사 의뢰 건에 대한 경찰 조사 결과가 나오면, 과기정통부가 이를 반영해 행정처분 여부 및 수위를 결정하는 것이다. 

업계 일각에선 누구 지시로 정부의 자료 보전 명령에도 해킹 의심 서버를 포렌식 불가 상태로 지웠고, 이를 어느 선까지 보고했는지 가리기만 하면 되는 사안인데도 경찰 조사가 늦어지고 있는 것에 의문을 제기한다.

SK텔레콤 관계자는 비즈니스포스트와 통화에서 이와 관련해 "서울경찰청 사이버수사대가 맡고 있는 것으로 알고 있다. 조사 상황은 알지 못한다"고 말했다

SK텔레콤에 대한 과기정통부의 행정 처분은 통신 사업자에 주어진 '통신망 안정적 운영' 의무를 어겨 국가 기간통신망을 위태롭게 만든 사업자를 제재하는 것이다. 당시 민관합동조사단 조사로 'SK텔레콤 과실'에 따른 것으로 드러난만큼, 영업정지 등 처벌이 불가피할 것으로 업계는 보고 있다.

한 통신사 임원은 비즈니스포스트와 만나 "한 달 가까운 영업정지가 나올 수 있다"고 예상했다.

SK텔레콤이 2300만 가입자의 개인정보를 유출시킨 것에 대한 개인정보보호위원회 제재는 과징금 1348억 원과 과태료 960만 원 부과로 마무리됐다.

SK텔레콤은 개인정보보호위 과징금 처분에 불복해 행정소송을 제기한 상태다. SK텔레콤 측은 과징금 산정 기준으로 삼은 관련 매출액 획정이 잘못됐고, 이전 다른 기업에 대한 과징금 부과 사례와 비교해 형평성이 맞지 않는다는 주장을 펴고 있다. 당시 민관합동조사단 조사 결과를 보면, SK텔레콤 통신망이 해킹에 뚫려 총 4만여 대에 이르는 통신망 서버 가운데 28대가 악성코드 33종에 감염됐다. 이를 통해 가입자 2300여만 명의 개인정보가 유출됐다. 유출된 개인정보 중에는 가입자 본인 확인 때 쓰이는 유심정보 25종도 포함됐다.

계정 정보를 부실하게 관리하고, 이전 침해사고 당시 대응이 미흡했으며, 주요 정보에 대한 암호화 조치를 제대로 하지 않은 것 등이 주요 원인으로 파악됐다.

앞서 SK텔레콤은 2022년 2월23일에도 해킹을 당했으나 법 절차대로 신고하지 않았고, 지난해에도 해킹 사실 발견 뒤 24시간이 지난 뒤 신고해 '24시간 이내 과기정통부 또는 한국인터넷진흥원 신고' 의무를 위반한 것으로 드러났다. 일부 서버의 악성코드 감염 사실을 숨기는 등 신고도 부실했다. 해킹 사실을 은폐·축소하려고 시도했다는 것이다.

과기정통부는 민관합동조사단 조사 결과를 바탕으로 "이용자에게 안전한 통신서비스를 제공해야 할 사업자의 의무를 다하지 못한 것"이라고 판단했다. 또 "유심 정보보호를 위한 주의 의무를 다하지 않았고, 관련 법령을 준수하지 않는 등 SK텔레콤의 과실이 있다"고 했다.

SK텔레콤 측은 엄중한 처벌 지적에 대해 "해킹 책임 추궁은 미래 지향적이어야지, 과거 지향적이어서는 안된다"고 주장해왔다. SK텔레콤 관계자는 이와 관련해 "재발 방지 쪽에 초점을 맞춰야 한다는 얘기"라고 설명했다. 

전문가들은 미래 지향적이고, 재발 방지를 위해서라도 엄격한 책임 추궁과 피해보상이 필요하다고 입을 모은다.

통신사 출신의 한 대학교수는 익명을 전제로 "SK텔레콤의 통신망 해킹 사고는 보안을 투자 순위에서 뒤로 미뤘다는 뜻이다. 강하게 책임을 추궁하고 피해보상을 하게 해야, 억지로라도 보안을 비용이 아닌 투자로 인식하게 만들 것"이라며 "그래야 '울며 겨자 먹기 식'으로라도 제대로 된 재발 방지 대책이 마련될 수 있다"고 말했다.

2010년 이후 이동통신 3사에선 통신망 해킹 및 개인정보 유출 사고가 잦았다. 그동안 크게 터져 언론에 보도된 이동통신 3사의 가입자 개인정보 유출 건 수 만도 1억 건에 육박한다. 2010년대 초반 개인정보 유출이 잦고 유출 규모도 커지며 사회적으로 논란이 일자, 정부가 통신·금융·의료 업종을 제외한 민간 기업의 주민등록번호 수집 이용을 전면 금지하기까지 했다.

해킹 및 개인정보 유출 사태는 이후에도 이어졌다. 개인정보 유출 피해 보상과 보안 소홀 책임을 강화해야 재발 방지를 기대할 수 있다는 전문가들과 정보인권 시민단체들의 지적이 이어졌지만, 법제화로 이어지진 못했다.

주민등록번호 수집·활용 예외 업종으로 분류된 통신·금융·의료 분야의 개인정보 유출은 이어지고 있다.

지난해 SK텔레콤을 시작으로 이동통신 3사에서 모두 해킹 및 개인정보 대량 유출 사태가 발생하고, 신한카드와 쿠팡 등 금융.플랫폼 업체에서도 개인정보 대량 유출 사태가 이어지자 드디어 정부가 움직였다. "보안을 투자로 여기게 하겠다", "법을 위반해 개인정보를 유출하면 패가망신하게 만들겠다" 등의 으름장이 이어졌고, 징벌적 과징금 제도를 도입해 개인정보 유출 시 과징금을 매출액의 10%까지 부과할 수 있게 했다.

문제는 실효성이 있을지다. 지금도 개인정보 유출 과징금은 매출액의 3%까지 부과할 수 있게 돼 있지만, 실제 부과액은 이에 훨씬 못미친다.

급기야 이재명 대통령이 이 부분을 짚고 나섰다. 이 대통령은 지난 14일 국무회의에서 재정경제부의 '벌금 감경 방안' 보고를 받은 뒤 "벌금으로 처벌하는 거라면 그 액수를 많이 하는 것이 옳지, 왜 깎아주느냐"고 했다. 이 대통령은 이어 "벌금 500만 원을 과태료로 바꿔준다면 그 액수는 5천만 원, 1억 원 등으로 해야 한다"고 덧붙였다.

개인정보보호법 시행령의 과징금 감경 기준이 가해 사업자들에 피해보상을 뻥튀기하고, 개인정보보호위원회 과징금 제재 후에는 피해보상을 외면하게 만든다는 지적도 나온다.

SK텔레콤은 지난해 방송통신분쟁조정위의 '중도 해지 위약금 면제 기한 연장', 개인정보분쟁조정위의 '가입자 1인당 30만 원 보상', 소비자분쟁조정위의 '가입자 1인당 10만 원 보상' 분쟁조정을 모두 거부했다.

앞서 SK텔레콤은 '1위 이동통신 사업자'라는 지위를 내세워 가입자를 모았다. '신뢰'를 강조했다.

SK텔레콤 가입자 중에는 '1위 이동통신 사업자라니 통신망을 안정적으로 유지하고 개인정보 관리도 잘하겠거니' 믿고 가입하고 이용해온 이들도 많았다.

하지만 SK텔레콤은 1위 이동통신 사업자답지 않게 보안을 소홀히 해 통신망이 해커 손에 넘어가게 했고, 가입자들의 개인정보도 유출시켰다.

지난해에는 SK텔레콤에 이어 KT와 LG유플러스에서도 통신망 해킹과 개인정보 유출 사태가 발생했다. SK텔레콤에 대한 책임 추궁과 처벌이 마무리되지 않으면서 뒤이어 발생한 KT와 LG유플러스에 대한 책임 추궁과 처벌 절차도 지연되고 있다.

KT와 LG유플러스의 개인정보 유출 피해 보상 행보 역시 아주 소극적이다. 2위와 3위 통신 사업자 KT와 LG유플러스가 1위 사업자 SK텔레콤을 따라하는 것 아니냐는 지적이 나오는 배경이다.

이동통신 3사가 통신망 해킹 및 개인정보 유출 사태를 '아주 옛 일'로 돌리기 위해 시간을 끌고, 과기정통부가 이를 묵인해주고 있는 것 아니냐는 의혹도 일각에서 제기된다.

이용자 개인정보를 더 많이 유출했다는 의혹을 받고 있는 쿠팡에 대한 책임 추궁과 제재도 늦어지고 있다. 김재섭 선임기자