“유심 정보 해킹”…SK텔레콤, 위약금 면제 귀책 판정 파장

유심(USIM) 정보 해킹 사고가 이동통신 산업의 신뢰 구조를 흔들고 있다. 과학기술정보통신부는 민관합동조사단의 분석 결과, SK텔레콤의 서버 해킹 사건이 사업자의 명백한 귀책 사유임을 공식화했고, 피해 이용자가 계약 해지 시 위약금 없이 이탈할 수 있도록 해석했다. 이번 결정은 통신서비스 기업의 정보보호 의무와 소비자 권익 보호 기준이 새롭게 자리 잡는 신호탄으로 해석된다. 업계는 이를 “이통사 보안 관리 책임의 분기점”으로 보고 있다.

과기정통부에 따르면, 해커는 2021년 8월 6일 SK텔레콤 서버에 악성코드를 심으면서 총 28개 서버, 33종의 악성코드가 동원됐다. 이 과정에서 유심 정보 25종, 9.82GB 상당이 유출됐다. SK텔레콤의 계정 관리, 과거 침해 대응, 암호화 등 일련의 보안 조치가 미흡했다는 판단이다. 법적 기준 미달과 주의 의무 소홀까지 지적됐다.

기술적 관점에서, SK텔레콤은 당시 ‘부정사용방지시스템(FDS) 1.0’과 유심 보호 서비스를 운영했지만 이용률은 저조했고, 시스템도 복제 리스크 전면 차단에는 한계를 보였다. 유심 정보는 단순 데이터가 아닌 본인 인증과 네트워크 접속의 핵심 키로, 유출 시 제3자에 의한 부정 이용 가능성이 높아진다. 전문가들은 “유심 보안 체계 설계·운영 기준이 산업 신뢰도에 직결된다”고 지적했다.

시장성 측면에서는, 위약금 면제 판정이 전기통신서비스 약관 해석의 역사를 바꿀 수 있다는 평가가 나온다. SK텔레콤 약관 제43조는 ‘사업자 귀책 시 위약금 면제’를 명시한다. 이번 판정은 통신사의 주된 계약 의무가 단순 접속이 아닌 ‘안전·신뢰 기반 서비스 제공’이라는 점을 강조했다. 과기정통부는 5개 법무법인 중 4곳의 동의를 근거로, 유심 정보 유출을 ‘주된 의무 위반’으로 규정했다.

글로벌로 보면, 미국·유럽 등은 해킹·정보유출 발생 시 사업자 책임을 엄격히 묻는 추세다. 국내 역시 데이터 보호·보안 투자 중심 경쟁으로 산업환경이 급격히 이동하고 있다. 다만, 정부는 “모든 사이버 침해 사고에 일률 적용되는 원칙은 아니다”라고 선을 그었다.

이번 결정은 향후 통신, IT 산업 전반에서 개인정보보호 수준과 약관 해석 논란, 서비스 신뢰도 강화 정책 등 주요 변수를 촉발할 조짐이다. 과기정통부는 “계약의 주된 채무인 안전한 통신 서비스 제공이 지켜져야 한다”고 밝혔다. 산업계는 보안 투자·운영 체계의 전면 재설계 필요성에 주목하는 한편, 새로운 소비자 보호 기준이 실제 시장에 정착할지 예의주시하고 있다.