CloudPNG

ºC

logo
IT/바이오

유심 정보유출 후폭풍…SK텔레콤, 분쟁조정안 거부로 배상 공방 확산

정하린 기자
입력

유심 정보 유출 사고가 통신 업계 전체의 개인정보 보호 기준을 흔들고 있다. SK텔레콤이 개인정보보호분쟁조정위원회가 제시한 인당 30만원 배상 조정안을 수용하지 않기로 하면서, 대규모 개인정보 침해 사고에 대한 책임 범위와 보상 기준을 둘러싼 규제 당국과 산업계의 긴장이 한층 커지는 분위기다. 업계에서는 이번 결정이 통신사 보안 투자 수준과 향후 개인정보 집단분쟁의 선례를 좌우할 분기점이 될 수 있다는 해석도 나온다.

 

SK텔레콤은 20일 개인정보 분쟁조정위원회에 조정안 불수락 의견서를 제출했다. 분조위가 정한 답변 시한 마지막 날 오후에 입장을 통보한 것으로 알려졌다. 회사 측은 의견서 제출 직후 입장문을 통해 분조위 결정을 존중한다는 표현을 쓰면서도, 사고 이후 회사가 취한 선제적 보상과 재발방지 대책이 조정안에 충분히 반영되지 않았다는 점을 불수락 사유로 제시했다. 동시에 고객 신뢰 회복과 추가 피해 예방을 위한 조치는 별도로 계속 이어가겠다는 계획을 강조했다.

이번 사안의 출발점은 유심 정보 유출 사고다. 가입자 식별에 핵심이 되는 유심 관련 정보가 외부로 노출되면서 제3자에 의한 명의도용, 통신서비스 악용, 2차 금융피해 가능성에 대한 가입자 불안이 크게 커졌다. 개인정보보호위원회 산하 분쟁조정기구인 개인정보보호분쟁조정위원회는 지난 3일, 관련 분쟁조정 신청을 제기한 고객 3998명에 대해 SK텔레콤이 1인당 30만원씩 보상하라고 권고했다. 전체 규모는 약 11억9940만원으로 산정됐다.

 

분조위 조정안에서 제시된 인당 30만원은 실제 피해 입증 여부와 무관하게 정보 유출로 인한 정신적 손해와 위험 노출에 대한 금액이라는 점에서 의미가 크다. 그동안 국내에서는 개인정보가 실제 불법 결제나 금융사기로 이어진 사례가 아니면, 개별 소송에서 인정되는 위자료 수준이 낮게 형성돼 있었다. 이번 조정안은 대규모 정보유출 시 ‘위험 노출 그 자체’에 대한 통신사의 책임을 보다 무겁게 본 판단으로 해석될 수 있다.

 

SK텔레콤은 조정안 수용 시 파급효과에 부담을 보여 왔다. 조정 결정 직후부터 회사는 자발적 사고 수습과 보상 절차를 이미 진행 중이며, 분조위가 이 같은 조치를 충분히 평가하지 않았다고 주장했다. 특히 분쟁조정 참여 인원을 넘어 다른 모든 가입자가 유사한 수준의 배상을 요구할 가능성에 주목했다. 업계 안팎에서는 SK텔레콤이 분조위 기준을 전체 가입자에게 확대 적용할 경우 최대 7조원 안팎의 잠재 비용 부담이 발생할 수 있다는 추정도 나왔다.

 

통신사의 이런 우려에는 구조적 배경이 있다. 통신 사업자는 가입자의 실명, 연락처, 결제정보는 물론, 통화 이력과 위치 기반 정보 등 고위험 개인정보를 대규모로 집중 보유한다. 정보보호 관리체계 인증과 법정 보호조치를 이행한다고 해도, 한 번 유출이 발생하면 손해 범위 산정이 모호하고 기간도 장기화되기 쉽다. 분조위 조정안이 그대로 통용될 경우, 향후 다른 통신사나 대형 IT 플랫폼에서 유사 사고가 발생했을 때 동일한 수준의 금액 기준이 적용될 수 있다는 점은 업계 전반에 직접적인 비용 변수로 작용한다.

 

반면 규제 당국 입장에서는 대형 통신사가 개인정보 보호 의무를 사실상 핵심 인프라 수준으로 강화할 필요가 있다는 시각도 있다. 통신 네트워크는 디지털 경제의 근간인 만큼, 단순 보안 사고를 넘어 사회적 신뢰 인프라 붕괴로 이어질 위험이 크기 때문이다. 분조위가 상대적으로 높은 배상 단가를 제시한 배경에는, 정보유출이 발생한 이후 개별 피해를 일일이 입증하기 어려운 현실을 고려해 사전적 억지력에 무게를 두려는 의도도 깔린 것으로 보인다.

 

개인정보 분쟁조정 제도 특성상, 조정안은 법원 판결과 달리 당사자의 수락 여부에 따라 효력이 갈린다. 한쪽이라도 불수락하면 조정은 성립하지 않고, 당사자는 민사소송 등 다른 절차를 선택할 수 있다. SK텔레콤이 조정안을 거부하면서, 이번 사건은 집단소송이나 개별 소송 형태로 장기화될 가능성이 커졌다. 다만 SK텔레콤이 독자적인 추가 보상 프로그램을 제안하거나, 일정 선에서 개별 합의를 시도할 여지는 남아 있다.

 

해외에서는 플랫폼 기업과 통신사가 대규모 개인정보 유출 사고로 수천억 원에서 수조 원에 이르는 합의금과 벌금을 부담한 사례가 늘고 있다. 특히 유럽 일반개인정보보호법과 미국 일부 주의 소비자 보호법은 정보유출 자체만으로도 상당 수준의 법정 손해배상과 과징금을 부과할 수 있는 구조다. 반면 국내에서는 집단소송 제도와 징벌적 손해배상이 제한적으로 도입돼 있어, 분쟁조정위의 조정금액이 사실상 사회적 기준점 역할을 할 수 있다는 전망도 제기된다.

 

향후 관전 포인트는 두 가지다. 첫째, SK텔레콤이 분조위 조정안을 거부한 뒤 제시할 후속 보상 프로그램의 수준과 범위다. 둘째, 법원과 규제 당국이 정보유출과 보상 책임에 대한 기준을 어떻게 구체화할지 여부다. 통신업계는 과도한 배상 기준이 보안 투자 확대보다 소송 리스크 관리에만 집중하게 만들 수 있다는 입장이고, 개인정보 보호 단체와 법조계 일부에서는 높은 위자료 기준이야말로 기업의 구조적 보안 투자를 촉진할 수 있다고 본다.

 

결국 이번 유심 정보 유출 분쟁은 단일 기업의 사고를 넘어, 통신과 플랫폼 산업 전반의 개인정보 보호 수준과 비용 분담 구조를 재설계하는 계기가 될 수 있다는 평가가 나온다. 산업계는 SK텔레콤의 선택 이후 규제 당국과 법원이 어떤 기준선을 제시할지 지켜보면서, 기술 보안과 법적 책임의 균형점을 어디에 둘지 고민을 깊게 할 수밖에 없어 보인다.

정하린 기자
share-band
밴드
URL복사
#sk텔레콤#개인정보분쟁조정위원회#유심정보유출