“SKT 해킹, 사업자 책임 인정”…정부, 위약금 면제 결정 파장

이동통신망 해킹 사건에서 통신사의 보안 관리 책임이 공식적으로 인정됐다. 과학기술정보통신부 민관합동조사단은 4일 발표를 통해, 2021년 SK텔레콤 서버에서 발생한 해킹 사고를 ‘사업자 귀책사유’로 결론 내렸다. 이번 발표는 통신 서비스 계약상 사업자의 보안 의무가 침해됐을 경우, 해지 위약금이 면제될 수 있는 근거가 됐다. 업계는 향후 통신사업 보안 기준 강화와 시장 신뢰 회복의 분기점으로 해석하는 분위기다.

조사 결과에 따르면 해커는 2021년 8월 6일부터 SK텔레콤 서버 28곳에 총 33개 악성코드를 심었다. 이로 인해 유심 정보 25종, 데이터 9.82GB가 유출됐다. 조사단은 SK텔레콤의 계정관리 부실, 침해사고 대응 미흡, 암호화 조치 부족 등을 주요 원인으로 지목했다. SK텔레콤은 부정사용방지시스템(FDS) 1.0과 유심 보호 서비스를 운영 중이었으나, FDS 1.0은 유심 복제 가능성을 전면적으로 차단하지 못했고 유심 보호 서비스 가입자도 5만명에 불과한 것으로 집계됐다.

기술적으로 SK텔레콤은 유심정보 보호를 위한 다층 보안체계를 마련했으나, 실제 유출 방지에는 한계가 있었다. 특히 유심 정보는 통신망 접속과 보안 신뢰성의 필수요소로, 유출 시 제3자가 본인 명의의 서비스를 무단 이용할 위험성이 높다는 점이 강조됐다. 안전한 통신 서비스를 제공해야 한다는 이용자와의 계약의 주된 의무를 SK텔레콤이 충분히 이행하지 못해 과실이 인정됐다는 분석이다.

법률 자문 결과도 SK텔레콤 책임론에 힘을 보탰다. 자문을 맡은 5개 법무법인 중 4곳은 “유심정보 유출은 안전한 서비스 제공 의무 위반”이며 “약관상 위약금 면제 규정 적용이 타당하다”는 의견을 제시했다. 과기정통부는 이에 따라 SK텔레콤이 위약금 면제 의무를 부담해야 한다고 결론지었다.

글로벌 기준으로도 통신 인프라 보안 사고에 대한 손해배상·이용자 보호 조항이 강화되는 추세다. 미국, 유럽 등에서는 주요 통신사 해킹 사고가 발생할 경우, 사업자의 보안 미비가 공식 확인되면 서비스 해지·변경 시 위약금 면제가 관례적으로 이뤄진다.

국내에서도 이번 결정을 계기로 통신사의 보안투자 확대 및 정보유출 대응체계 고도화 논의가 가속화될 전망이다. 전문가들은 “통신사와 이용자 간 신뢰 회복의 관점에서, 단순히 위약금 면제를 넘어 보안 수준 고도화와 사고 예방 대책 수립이 동반돼야 한다”고 지적한다.

산업계는 이번 판정이 실제 통신시장 전반의 보안 역량 제고로 이어질 수 있을지 주목하고 있다. 정부 당국과 통신사, 이용자 모두의 인식 전환이 새로운 성장의 관건이 되고 있다.