SK텔레콤(SKT)의 유심 정보 유출 사태 후폭풍이 갈수록 커지고 있다. SKT는 연일 대책을 내놓고 있으나 혹시라도 내 개인정보가 유출될까 전전긍긍하는 가입자들이 많다. 해킹 사실을 인지하고 뒤늦게 알린 것도 문제지만, 가입자 불편과 피해를 막기 위한 SKT의 대응도 미흡하다는 비판이 쏟아지고 있다.

스마트폰 유심은 민감한 개인정보를 담고 있다. 앞으로 어떤 피해가 발생할지 예상하기 어렵다. SKT는 유심 보호 서비스에 가입하면 국내에서는 정보 유출을 차단할 수 있다고 한다. 하지만 유심 정보가 해킹되는 과정에서 다른 정보가 유출됐을 가능성이 있다. 전문가들은 보안 수준이 가장 높은 유심 정보가 털렸을 정도면 다른 정보도 해킹 당했을 확률이 높다고 경고한다.

SKT 피해 방지대책 미흡해 국민적 혼란 가중

SKT 가입자는 2300만 명이다. 국민 2명 중 1명이 가입 고객인 셈이다. 국민 불안감이 커지고 사태가 심각해지자 정부는 행정지도를 통해 SKT를 상대로 신규 가입자 모집을 중단할 것을 명령했다. 이에 따라 SKT도 5일부터 신규 가입과 번호 이동 영업을 중단한다.

개인정보보호위원회는 2일 긴급 전체 회의를 열어 SKT가 유심 정보 유출을 확인하면 즉시 가입자에게 개별 통지하는 방안을 의결했다. 개인정보위 의결에 따라 SKT는 유출된 개인정보 항목과 유출 시점, 경위, 유출 피해 최소화 방법, 개인정보처리자의 대응 조치와 피해 구제 절차, 피해 신고 접수 부서와 연락처 등을 피해자에 신속하게 개별 통지해야 한다.

개인정보위에 따르면 SKT는 고객의 유심 정보가 유출된 정황을 인지하고 유출 신고는 했으나 홈페이지에 전체 공지만 했을 뿐 정보 주체에게 유출 사실을 개별 통지하지 않았다. 개인정보위는 “현행법은 사업자가 개인정보 유출 피해를 최소화하기 위한 대책을 마련하고 필요한 조치를 하도록 규정하고 있지만 SKT가 피해방지 대책으로 마련한 유심 보호 서비스와 유심 교체는 유심 물량 부족, 서비스 처리 지연 등으로 원활하게 이뤄지지 않아 국민적 혼란과 불만이 가중되고 있다”고 지적했다.

디지털 보안 사고에 대한 처벌 수위 너무 낮아

이번 사태로 디지털 보안 사고에 대한 처벌 수위를 높여야 한다는 주장도 나온다. 여론조사 전문기관 리얼미터는 ‘제보팀장’ 의뢰로 ‘디지털 정보 유출 사태’에 대한 설문 조사를 진행해 2일 결과를 발표했다. 모든 권역과 연령대, 성별, 직업 등과 무관하게 ‘디지털 보안 사고’에 대해서는 ‘징벌적 손해배상 제도’가 필요하다는 의견이 지배적이었다. 응답자의 91.3%가 징벌적 손해배상 제도를 도입해야 한다고 답했다. 매우 필요하다는 응답이 67.6%, 대체로 필요하다는 응답이 23.6%로 조사됐다. 국민 10명 중 9명 이상이 디지털 보안 사고에 대해서는 엄중한 처벌이 필요하다는 견해를 피력한 것이다.

국내에서 디지털 보안 사고가 자주 발생하는 주된 원인으로도 ‘약한 처벌 수위’가 38.8%로 가장 많았다. 투자 부족과 안일한 대응(35.1%), 보안 기술 역량 부족(20.2%)이 뒤를 이었다. SKT 유심 정보 유출 사태와 관련해서는 SKT 자체의 기술·관리 소홀에 따른 책임이 크다는 답변이 67.4%에 달했다. 다른 기업에도 발생할 수 있는 불가피한 문제라는 응답은 22.3%에 불과했다.

정보 유출 인지 후 24시간 내 신고 의무 위반 사안에 대해서는 재발 방지를 위해 엄중히 처벌해야 한다는 응답이 77%로 압도적으로 많았다. 또 유출된 정보에 주민등록번호나 금융정보 등 민감 정보는 포함되지 않았다는 SKT 쪽 입장에 대해 80.6%가 신뢰하지 않는다고 답했다. 무료 유심 교체와 유심 보호 서비스 가입 고객의 경우 해킹 피해 시 100% 보상 등 대책에 대해서도 72.7%가 충분하지 않다고 응답했다.

이런 결과는 고객 개인정보보호에 소홀한 SKT의 무책임과 사고 발생 후 미흡한 대응에 대한 불만이 반영된 것으로 해석된다. 이번 조사는 지난달 29일 전국 18세 이상 대상으로 무작위 생성 표집 틀을 통한 임의 전화 걸기(무선 100%) 자동 응답 조사방식으로 실시됐다. 전체 응답률은 7.0%(7118명 통화 시도)로 최종 500명이 응답했고, 표본오차는 95% 신뢰수준에 ±4.4%포인트이다.

SKT 정보 보안 투자에 인색…유심 유출 사고 자초

이번 사태는 SKT가 자초한 측면이 강하다. 해킹 수법이 고도화하는 추세에 맞춰 정보 보안 투자를 늘려야 하는데도 그렇게 하지 않았다. 국내 이동통신업계 2위와 3위인 KT, LG유플러스와 비교하면 실상을 바로 알 수 있다. 한국인터넷진흥원에 따르면 KT는 2022년부터 연간 1000억 원 이상을 정보보호 투자에 사용했다. 작년에는 1218억 원을 썼다.

반면 SKT의 정보보호 투자액은 KT의 절반에도 미치지 못하는 600억 원에 불과했다. SK브로드밴드 투자액까지 합쳐도 KT보다 350억 원가량 적다. LG유플러스는 가입자가 SKT의 절반도 안 되지만 정보 보안 투자를 꾸준히 늘리고 있다. 2022년 292억 원이었던 투자액을 지난해 632억 원까지 증액했다. 이 같은 정보 보안 투자액만 봐도 국내 최대 가입자를 보유한 SKT가 고객 정보보호에 얼마나 소홀했는지 짐작할 수 있다.

디지털 보안 사고 처벌 수위 높여야 재발 방지

유영상 SK텔레콤 대표는 지난달 30일 국회 과학기술정보방송통신위에 나와 이번 사태를 국내 통신사 역사상 최악의 해킹 사고라는 점에 동의한다고 했다. 과학기술정보통신부가 구성한 민관합동조사단 조사 결과 유출 정보에는 가입자 전화번호와 가입자 식별키 정보가 포함됐다. 다행히 스마트폰을 복제할 수 있는 기기 고유식별번호 유출은 없었다. 고유식별번호가 유출돼 복제할 수 있게 되면 금융 결제와 통신 서비스를 무단으로 이용할 수 있다. 대규모 피해가 발생할 수 있다는 뜻이다.

기기 고유식별번호가 유출되지 않았다고 해도 안심할 수는 없다. 가입자 식별키만으로 유심을 복제할 수 있기 때문이다. 유심 보호 서비스에 가입하지 않는다면 무단으로 도용당할 수 있다. 문제는 SKT 해킹 같은 치명적인 보안 사고가 언제든 재발할 수 있다는 점이다. 2일에도 아르바이트 구인·구직 플랫폼 알바몬에서 해킹 공격으로 회원 정보가 유출되는 사고가 발생했다.

개인정보보호를 위해서는 민관을 불문하고 관련 투자를 아끼지 말아야 하고 규제도 강화할 필요가 있다. 리얼미터 설문 조사에서 대다수 국민이 동의한 만큼 디지털 보안 사고에 대해서는 징벌적 손해배상 제도를 적용하는 방안도 고려해야 한다.