CloudPNG

ºC

logo
IT/바이오

“유심 정보 25종 유출 논란” SK텔레콤, 30만원 배상 조정안 거부 기류

윤선우 기자
입력

유심 기반 가입자 정보 유출 사건이 통신 산업의 개인정보 책임 논쟁을 키우고 있다. SK텔레콤이 개인정보보호위원회 산하 분쟁조정위원회의 조정안을 수용하지 않을 움직임을 보이면서, 향후 집단소송과 규제 리스크가 통신 업계 전반으로 확산될 수 있다는 관측이 나온다. 업계에서는 이번 사건을 두고 통신사의 데이터 보안 의무 수준과 정신적 손해 배상 기준을 둘러싼 분수령이 될 수 있다고 보고 있다.

 

20일 업계에 따르면 SK텔레콤은 지난 5일 개인정보 분쟁조정위원회 결정문을 통지받았고, 이날까지 조정안 수락 여부를 통보해야 한다. 분쟁조정은 당사자가 통지를 받은 날부터 15일 이내에 수락 의사를 밝히지 않으면 성립되지 않은 것으로 간주된다. 분조위는 이달 3일 고객 3998명이 신청한 사건에서 SK텔레콤이 신청자에게 1인당 30만원씩 배상하도록 결정했다. 전체 조정 규모는 약 11억9940만원이다.

핵심 쟁점은 유심 정보 유출의 성격과 통신사의 관리 책임 범위다. 이번 사건에서 노출된 정보는 가입자 식별에 사용되는 유심 관련 데이터 25종에 이르는 것으로 알려졌다. 유심 정보는 이용자의 휴대전화 번호뿐 아니라 통신망 접속 인증과 단말기 식별에 쓰이는 핵심 데이터로, 통신망 보안 설계에서 가장 민감한 계층에 속한다. 전문가들은 유심 정보 유출이 현실적인 금전 피해로 곧바로 이어지지 않더라도, 동일 번호를 가진 대포폰 개통 시도나 인증 도용 등 2차 악용 가능성을 높인다는 점에서 보안 사고의 중대성이 크다고 지적한다.

 

그럼에도 SK텔레콤은 회사 차원의 사고 수습과 자체 보상 조치를 강조하며 분쟁조정 수락에 부정적 기류를 유지하고 있다. 앞서 지난 8월 방송미디어통신위원회 산하 통신 분쟁조정위원회가 결합상품 해지 위약금의 50퍼센트를 감액 지급하고 위약금 면제 기간을 연말까지 확대하라는 직권조정을 내렸을 때도 SK텔레콤은 받아들이지 않았다. 당시 회사는 내부 검토 결과를 바탕으로 유사 소송과 집단 분쟁에 미칠 파급 효과, 재무적 영향 등을 이유로 수락이 어렵다는 입장을 공식화했다.

 

이번 개인정보 분쟁조정안에 대해서도 비슷한 논리가 적용될 전망이다. 개인정보 분조위 결정이 발표된 직후 SK텔레콤은 유감을 표명하며 사고 이후 자발적 보상, 후속 보안 강화 대책 등이 조정안에 충분히 반영되지 않았다고 주장했다. 통신사가 자체 마련한 모니터링 강화, 재발 방지 시스템 업그레이드, 가입자 대상 안내 및 보상 프로그램이 법적 분쟁 과정에서 어느 정도 참작될지 여부가 향후 소송의 핵심 변수가 될 수 있다.

 

직접적인 금전 피해나 2차 범죄 사례는 아직 보고되지 않은 상황이지만, 가입자들의 법적 대응은 오히려 가속되는 양상이다. SK텔레콤 가입자 상당수가 공동 소송에 참여했고, 법원은 최근 변론기일을 지정하며 심리를 본격화하고 있다. 이용자 측은 개인정보 유출 자체로 인한 정신적 손해와 잠재적 위험 노출을 근거로 위자료 수준 상향을 요구하고 있다.

 

하희봉 로피드 법률사무소 변호사는 유심 기반 데이터가 다수 노출된 점을 강조하고 있다. 그는 유심 정보가 25종이나 유출됐고, 이론적으로는 제3자가 실제 가입자와 동일한 번호, 동일한 정보 조합으로 대포폰을 개통하려 시도할 여지도 있었다는 점을 지적한다. 이러한 위험 가능성을 토대로 정신적 손해와 불안감에 대한 배상액을 최대한 확대 인정받겠다는 전략이다. 하 변호사는 현재 약 1만7000명의 SK텔레콤 고객을 대리해 1차부터 4차에 걸쳐 손해배상 청구소송을 제기했으며, 1인당 청구 금액은 분쟁조정안보다 높은 50만원 수준으로 책정했다.

 

국내 법원은 과거 주요 정보 유출 사건에서 대체로 1인당 10만원 전후의 배상액을 인정해 왔다. 대법원은 2019년 카드 3사 정보 유출 사건에서 피해자 1인당 10만원씩 배상하라는 원심 판단을 그대로 확정했다. 2009년에는 게임사 엔씨소프트의 리니지2 개인정보 유출 사건에서 역시 10만원씩 배상하라는 판결이 나왔다. 두 사건 모두 내부 인력의 고의나 과실이 범행 경로였다는 점에서 사업자의 관리 책임이 비교적 명확하다고 평가됐다.

 

통신사 사건에서는 다른 결론이 내려진 선례가 있다. 2012년 KT 개인정보 유출 사건의 경우 하급심 법원은 이용자에게 1인당 10만원 배상 판결을 내렸지만, 대법원은 최종적으로 통신사의 배상 책임을 인정하지 않았다. 당시 해커가 사용한 공격 방식이 당시 기술 수준에서 예측하기 어려운 신종 해킹 수법이었고, KT가 합리적인 수준의 보안 조치를 취했음에도 사고가 발생했다는 점이 근거로 제시됐다. 결과적으로 사업자의 주의 의무 범위와 기술적으로 방어 가능한 수준의 기준 설정이 판결을 가른 셈이다.

 

이번 SK텔레콤 유심 정보 유출 소송에서는 개보위 제재 의결서와 분쟁조정 결정문 내용이 핵심 참고 자료로 활용될 전망이다. 이용자 측은 의결서에 담긴 보안 관리 미흡 사항과 시정 요구 내용을 근거로 통신사의 과실을 구체적으로 입증하겠다는 계획이다. 반대로 SK텔레콤은 사고 인지 후 조기 차단 조치, 재발 방지 대책, 고객 대상 선제적 보상을 강조하며 관리 책임 수준이 법원이 인정해 온 기준을 넘지 않았다는 점을 부각할 가능성이 크다.

 

통신 업계는 이번 사태를 계기로 유심 기반 인증 구조와 가입자 데이터 보호 체계를 전반적으로 재점검하는 분위기다. 특히 통신망과 금융, 공공서비스가 유심과 휴대전화 번호를 기반으로 연동되는 구조에서, 한번의 유심 정보 유출이 여러 산업으로 연쇄 위험을 전파할 수 있다는 점이 리스크로 부각되고 있다. 당국 역시 통신사 보안 의무 규정 정비, 분쟁조정 제도의 실효성 강화 방안을 검토할 여지가 커졌다.

 

향후 법원의 판단에 따라 통신 분야 개인정보 유출 사건의 위자료 기준과 통신사의 기술적·관리적 보호 조치 의무 수준이 재정립될 수 있다는 관측이 제기된다. 산업계는 유심 정보 유출 판결이 어디로 향하느냐에 따라 통신사뿐 아니라 클라우드, 핀테크, 플랫폼 사업자 전반의 데이터 보안 투자 전략과 규제 대응 방향이 달라질 수 있다며, 이번 분쟁의 향방을 예의주시하고 있다.

윤선우 기자
share-band
밴드
URL복사
#sk텔레콤#개인정보보호위원회#유심정보유출