합동조사단 SKT 유심 결과 발표 앞두고 '징벌적 처벌' 우려'투자금 의무화' 등 규제 강화, 대기업 보다 중소기업 더 부담"남은 외상값 갚지 않겠다" … 정치권 '위약금 면제' 요구 논란기업 혼자서는 해결 불가능, '처벌 보다 형평성', '규제 보다 당근'
-
-
- ▲ 이 이미지는 ChatGPT(OpenAI)의 이미지 생성 기능을 통해 제작됐습니다.
대한민국을 뒤흔들었던 SKT 유심 정보 해킹 범죄 사건이 애초 우려했던 복제폰(심스와핑) 피해나 금융사기 등 대형 사고로 이어지지 않고 시나브로 마무리 국면이다. 사건 발생 초기 불안한 마음에 유심 교체를 서두르는 전쟁터 같은 오픈런도 이제 찾아볼 수 없다.
하지만 누가 어떤 목적을 노렸는지 명확히 알아내기는 불가능하다. 알아내더라도 책임을 묻기도 어려운 만큼 대책 마련도 골머리다. 북한군 막자고 북한 GDP(국내총생산)보다 큰 규모의 국방예산을 편성하는 방식을 기업에 요구할 수도 없다. 도둑 하나 잡자고 포졸 수를 열, 백, 천명으로 마냥 늘릴 수만도 없다. 기업이 이 정도까지 해야 할 정도라면 사업을 접고 정부가 운영하는 게 맞다.
현재 국회에는 SKT 해킹 사건 이후로 '정보보호 투자금을 의무화'하는 법안이 발의된 상태다. 이 법안의 부작용은 뻔하다. 대기업 보다는 스타트업, 중소·중견기업에 더 큰 부담이다. 규제 강화 중심으로 정부 정책이 쏠리게 되면 영세 ICT 기업들의 피해만 커지고 사업 진입장벽만 높아지는 셈이다.
이뿐만이 아니다. 가장 큰 논란의 중심에 있는 '위약금 면제' 요구다. 4일 예정된 합동조사단의 결과 발표가 임박한 가운데 그동안 일부 정치권과 시민단체 등에서는 '위약금 면제' 요구하면서 논란이 이어져 왔다. 쉽게 말하면 이통사가 잘 관리해야 할 고객정보가 털렸으니, 남은 외상값은 갚지 않겠다는 억지처럼 보인다. 자유시장경제의 근간을 흔드는 행위다.
자칫 사회적 분위기에 휩쓸려 '형평성'을 잃고 일개 기업이 부담할 수 없는 수준의 '징벌적 처벌'이 나오는 게 아니냐는 우려의 목소리가 커지는 이유다.
실제 해킹 범죄로 인한 개인정보 침해 사고는 끊이지 않는다. 대응책을 마련하면 할수록 더 고도화되고 지능화된 또 수법이 나타난다. 기술 발전의 아이러니다.
개인정보보호위원회 조사 결과에 따르면 작년 한 해에만 307건에 달하는 침해 사고가 발생했다. 이 중 해킹으로 인한 유출이 171건으로 전체 사고의 60%, 업무 과실 91건(30%), 시스템오류 23건(7%), 원인 미상 17건, 고의 유출 5건 등의 순이다. 이미 전 국민 개인정보가 다 유출됐다고 보는 게 맞다.
SKT의 유심 정보 해킹 최대 피해자는 고객들이다. 실제 복제폰이나 이로 인한 금융거래 피해는 일어나지 않았지만, 공포 수준의 불안감에 떨었던 것은 분명하다. 고객정보 관리를 더 철저히 못 했던 잘못은 있지만 "끝까지 책임지겠다"는 SKT 역시 또 하나의 해킹 범죄 피해자라는 것 또한 사실이다.
처벌에 있어서 '형평성'이 가장 중요한 이유다. 그동안 국내에서는 수차례 개인정보 유출과 대규모 서비스 사고가 벌어졌지만, 통신사가 위약금을 면제해준 사례는 없다.
KT는 2012년과 2014년 두 차례 대규모 개인정보 유출 사고로 각각 870만, 1200만 명의 고객정보가 유출됐다. 하지만 실제 발생한 피해가 없었다는 이유로 고객 대상 별도 보상책을 내놓지는 않았다.
2012년 사고 발생 당시 송정희 KT 최고정보책임자(CIO) 부사장은 "개인정보가 유출된 것 자체는 피해보상의 범위가 아니고, 정보 유출로 인해 다른 피해가 생겨야 피해로 볼 수 있다"고 밝힌 바 있다.
이어 2023년 LG유플러스가 해킹당해 29만명의 고객 개인정보 유출 사고가 발생했을 당시에도 월 550원에 제공하던 유료 서비스 'U+스팸차단알리미'를 모든 무선 고객에게 무료 지원(1100만 고객 대상 약 60억원) 이외 별다른 보상은 없었다.
특히 대규모 서비스 장애로 고객에게 실질적인 피해를 초래한 사고의 경우에도 위약금을 면제해주진 않았다. 2018년 발생한 KT 아현동 화재 사고 발생 당시 일부 피해고객 1개월 요금감면, 소상공인 지원 등 총 400억원 규모의 보상이 이뤄졌을 뿐이다.
하지만 이번 SKT 해킹 사건에 대해서만 유독 높은 수준의 규제와 처벌을 요구하고 있다.
이미 KT와 LG유플러스가 해킹 사고를 당한 전례가 있는 만큼, SKT 고객이 위약금을 면제받고 다른 통신사로 옮긴다고 해도 해킹 범죄에서 자유로울 수 없다. 위약금 면제는 또 다른 피해자만 만들 뿐, 현명한 해결책이 아니다.
이번 해킹 범죄 경험을 기회로 삼아 기업은 신뢰할 수 있는 재발 방지 대책을 내놓고, 고객들에게 자발적인 보상을 해주는 게 합리적이다.
현재 SKT는 이번 사고 조사 결과 발표를 앞두고 정보보호 대책과 함께 불편을 겪은 고객들을 대상으로 '요금제 할인', '멤버십', '로밍' 등 혜택을 담은 '수천억원' 규모의 자체 보상안을 준비 중인 것으로 전해진다.
SKT는 이번 사이버 침해 사고를 인지하자마자 관계 당국에 신고했다. 경쟁사들이 해킹당했다는 사실조차 인지하지 못한 것과는 한 차원 다른 모습을 보였다. 그런데도 징벌적인 위약금 면제 결정을 한다면, 국내 기업들은 해킹 피해 사실을 알고도 숨기는 길을 택할 수도 있게 된다. 지금도 정보 침해 사고를 당한 기업의 자진 신고 비율은 19.6%(2024년 한국정보보호산업협회 조사)에 그친다. 대부분이 해킹을 당한지도 모르고 지나가거나 이미 철저히 숨기고 있다는 뜻으로 해석이 가능하다.
AI 시대에 접어들며 해킹에 대한 완벽한 예방은 더욱더 불가능해지고 있다. 해킹 피해 기업에 무한 책임을 지운다면 어떤 기업도 투명하게 피해 사실을 밝힐 수 없게 되는 악순환이 반복된다. 처벌과 규제를 강화는 최악의 수단이다. 사회적 분위기에 휩쓸려 또 다른 피해자를 만들어서는 안 된다.
최정엽 산업에디터
이메일 보내기
