CloudPNG

ºC

logo
IT/바이오

개인정보유출 해킹사고…SKT, 1인당 10만원 보상 압박

배주영 기자
입력

개인정보 유출 해킹 사고가 통신 산업 전반의 보안 수준과 소비자 보호 체계를 다시 시험대에 올리고 있다. 올해 4월 발생한 SK텔레콤의 대규모 해킹 피해와 관련해 소비자분쟁조정위원회가 구체적 보상 기준을 제시하면서, 통신사는 물론 대형 플랫폼 사업자까지 향후 유사 사고 시 부담해야 할 재무·평판 리스크가 눈에 띄게 커지는 흐름이다. 업계에서는 이번 결정을 대규모 정보유출 분쟁의 새로운 기준이자, 통신망과 데이터 인프라 보안 경쟁의 분기점으로 보는 시각이 확산하고 있다.  

 

소비자분쟁조정위원회는 21일, 올해 4월 발생한 SK텔레콤 해킹에 따른 개인정보 유출 사건과 관련해 집단분쟁조정 결정을 내렸다고 밝혔다. 위원회는 지난 18일 집단분쟁조정회의를 열어 SK텔레콤이 분쟁조정을 신청한 각 소비자에게 통신요금 5만원 할인과 티플러스포인트 5만 포인트를 지급해야 한다고 의결했다. 민관합동조사단의 7월 조사 결과와 개인정보보호위원회의 8월 처분 내용을 토대로, SK텔레콤 해킹으로 인한 개인정보 유출과 그에 따른 소비자 피해 발생 사실이 인정된다는 점을 분명히 한 것이다.  

위원회는 SK텔레콤의 홈 가입자 서버가 외부 공격을 받아 고객 정보가 대량 유출된 사건을 전형적 사이버 침해 사고로 규정했다. 이번 사고에서는 알뜰폰 이용자를 포함한 광범위한 통신 가입자 정보가 외부에 노출된 것으로 파악됐다. 구체적인 공격 기법과 보안 취약 지점에 대해서는 별도로 공개되지 않았지만, 통신사 핵심 가입자 데이터베이스 인프라의 접근 통제와 침입 탐지 체계가 충분히 작동하지 못했다는 점에서 통신망 기반 데이터 보안 체계 전반이 도마 위에 오른 상황이다.  

 

위원회는 보상안을 마련하면서 기술적 책임 규명과 손해배상 범위 판단을 분리했다. 개인정보보호법과 정보통신망법 위반 여부, 그리고 통신사로서 계약상 안전조치 의무를 다했는지에 대한 구체적 법적 평가는 현재 진행 중인 다수의 민사소송에서 다퉈질 사안으로 보고, 이번 조정에서는 판단을 유보했다. 대신 피해 소비자의 실질적인 피해 회복과 대규모 분쟁 해결의 현실성을 고려해 금액과 지급 수단을 설계했다는 설명이다.  

 

보상 규모 산정에는 과거 대형 개인정보 유출 사건의 전례가 반영됐다. 위원회는 통신사와 카드사 등에서 발생했던 대규모 유출 사례에서 1인당 보상액이 통상 10만원 수준이었던 점, 잠재적 피해자를 포함한 전체 소비자에 대한 보상이 필요하다는 점, 그리고 조정안 수락 가능성을 높여 실제 집단 분쟁 해결로 이어가야 한다는 점을 함께 고려했다고 밝혔다. 그 결과 현금 환급이 아닌 통신요금 할인 5만원과 포인트 5만 포인트를 묶어 1인당 총 10만원 규모의 보상안을 제시했다.  

 

이번 해킹 사고의 잠정 피해자는 알뜰폰 이용자를 포함해 2324만4649명으로 추산된다. 위원회는 SK텔레콤이 이번 조정 결정을 수락하고, 조정 절차에 참여하지 않은 피해자에게까지 동일한 기준을 적용해 보상할 경우 전체 보상 규모가 2조3000억원을 넘어설 것으로 내다봤다. 통신사가 정보유출 사고 한 건으로 수조원대 잠재 비용을 부담해야 하는 구조가 현실화될 수 있다는 점에서, 향후 통신 및 클라우드 사업자의 보안 투자와 리스크 관리 전략에도 상당한 영향을 줄 전망이다.  

 

위원회는 기업의 선제적 보상과 신뢰 회복 노력을 감안해 기존 지원책 일부를 보상 산정에서 공제했다. SK텔레콤이 8월에 진행한 고객감사패키지 가운데 통신요금 반값 할인 혜택은 전액 공제하되, 같은 피해를 입었음에도 가입 요금제에 따라 차등 보상이 이뤄지는 것은 부당하다고 판단했다. 이에 따라 모든 피해 이용자에게 일괄적으로 5만원의 통신요금 할인을 적용하도록 결정했다. 나머지 5만원 상당은 티플러스포인트로 지급하는 형태로 분배해, 기존 고객 대상 감사 패키지와 중복 논란을 줄이면서도 최소한의 균질한 보상 수준을 맞추려 한 것으로 보인다.  

 

집단분쟁조정 절차는 지난 5월 9일, 소비자 58명이 SK텔레콤 홈 가입자 서버 해킹으로 개인정보가 유출됐다며 피해 보상과 재발 방지 대책을 요구하는 집단분쟁조정을 신청한 데서 출발했다. 소비자분쟁조정위원회는 9월 1일 집단분쟁조정 절차 개시를 결정한 뒤 최근까지 세 차례 분쟁조정회의를 열어 조정안을 논의해 왔다. 통신·데이터 산업에서 해킹 피해가 반복되는 상황에서, 개별 소송이 아닌 행정적 분쟁조정 기구를 통한 집단 해결 모델을 구체적으로 설계한 사례라는 점에서 의미를 가진다.  

 

법적 절차상 당사자들은 조정 결정서를 받은 날부터 15일 이내에 조정 내용 수락 여부를 위원회에 통보해야 한다. 명시적 거부 의사 표시가 없을 경우 수락으로 간주되며, 이 경우 재판상 화해와 같은 효력이 발생한다. SK텔레콤이 수락할 경우, 조정 절차에 참여하지 않은 피해자에게도 동일한 보상이 이뤄질 수 있도록 보상계획서 제출 등 후속 절차가 이어질 예정이다. 통신·플랫폼·핀테크 등 데이터 기반 서비스 사업자 입장에서는 향후 대규모 사고 발생 시 집단분쟁조정이 강력한 분쟁 해결 옵션으로 부상할 가능성을 시사하는 대목이다.  

 

개인정보보호법과 정보통신망법은 정보통신서비스 제공자에게 기술적·관리적 보호조치 의무를 부과하고 있으며, 위반 시 과징금과 형사처벌뿐 아니라 민사상 손해배상 책임까지 수반할 수 있다. 최근에는 정보통신망법 개정과 전자정부 고도화 등으로 통신 데이터와 공공 데이터가 다양한 서비스에 연동되면서, 한 번의 해킹이 여러 산업 분야로 도미노식 피해를 확산시킬 수 있는 구조가 강화됐다. 이런 환경에서 이번 조정 결정은 대규모 정보유출 리스크에 대한 비용을 보다 명시적으로 가격화한 선례로 평가될 여지도 있다.  

 

전문가들은 통신사와 대형 IT 기업이 단순 관제 수준을 넘어, 내부 네트워크 분리, 데이터 최소 수집, 가명 처리 강화, 다단계 인증과 침입 탐지 자동화 등 기술적 조치를 더욱 고도화할 필요가 있다고 본다. 또 해킹 탐지 후 신고 지연 문제, 사고 공지 방식, 피해 가능성에 대한 정보 제공 범위 등 제도적 보완 과제도 계속 제기되고 있다. 유럽연합의 일반개인정보보호법과 미국 주별 데이터 유출 통지법 등 글로벌 규제 환경과 비교해, 국내에서도 실질적인 피해 예방과 사후 대응 체계를 조화시키는 방향으로 추가 논의가 이어질 수 있다는 전망도 나온다.  

 

한용호 소비자분쟁조정위원회 위원장은 대규모 소비자 피해를 신속히 회복하는 한편, 사업자의 자발적 보상과 신뢰 회복 노력을 함께 고려해 이번 보상안을 도출했다고 강조했다. 그는 최근 잇따른 개인정보 유출 사태를 거론하며 재발 방지를 위한 사업자의 기술적·제도적 노력이 더욱 뒷받침돼야 한다고 말했다. 산업계에서는 이번 사례가 실제 시장에 안착하는 해킹 보상 기준이 될지, 그리고 이를 계기로 통신과 IT·바이오 융합 서비스 전반에서 보안 투자가 얼마나 속도감 있게 확대될지 예의주시하고 있다.

배주영 기자
share-band
밴드
URL복사
#sk텔레콤#소비자분쟁조정위원회#개인정보유출