지난 4월 22일 SK텔레콤(이하 SKT)은 “4월 19일 악성코드로 인한 유심 관련 일부 정보 유출이 의심된다”라는 보도자료를 발표하였다. 그러나, SKT는 4월 18일 해당 사실을 최초로 인지한 것이 밝혀졌고, 정보통신망법에 규정된 24시간을 넘긴 4월 20일 한국인터넷진흥원(이하 KISA)에 신고하였다. 해킹 직후 SKT는 유심보호서비스 가입을 적극 권장하였으며, 지난 4월 28일 유심 무료 교체 서비스를 시작하였고, 5월 3일부터 유심보호서비스 자동 가입을 시작하였다. 그러나, 해킹 이후 4.6%의 고객만이 유심을 교체할 수 있을 만큼 유심 물량이 부족한 상황이고, 유심보호서비스도 해외에서는 제한되는 등 한계가 있다.
◇ SKT의 유심 정보 유출 자진신고 … 법정 기한 넘겨 유관기관에 신고해
지난 4월 22일 SKT의 보도자료로 인해 SKT 유심 관련 정보의 유출이 화두에 올랐다. SKT는 해당 보도자료에서 “4월 19일 23시경, 악성코드로 인해 고객의 유심 관련 일부 정보가 유출되는 것으로 의심되는 정황을 발견했다”라고 밝혔다. 유출 정황을 4월 20일 KISA에 알렸고, 4월 22일 개인정보보호위원회에 신고하였음을 덧붙였다. 그러나, 국회 과학기술정보방송통신위원회(이하 과방위) 최수진 의원에 따르면 SKT는 지난 4월 18일 18시경 내부 시스템 데이터가 의도치 않게 이동된 사실을 최초로 인지한 후 사태 파악에 나선 것으로 드러났다. 4월 18일 23시경 유심 관련 정보 처리 서버에서 악성코드를 발견하였고, 해킹 공격 사실을 파악하였으며, 19일 23시 40분경 해당 악성코드를 통해 일부 유심 정보가 유출되었다는 사실을 인지한 것으로 나타났다. 18일 악성코드를 발견함으로써 해킹을 인지하였음에도 정보통신망법에 규정된 24시간을 넘긴, 20일에 KISA 신고함으로써 규정을 위반하였다. 이에 대해 SKT는 “사안의 중대성을 고려해 최소한의 발생 원인과 피해 내용을 좀 더 철저하게 파악하는 과정에서 신고가 늦어진 것이며, 고의적인 지연 의도는 없었다”라고 해명했다. KISA가 과방위에 제출한 자료에 따르면, SKT는 지난 20일 한국인터넷진흥원 측에 해킹 신고를 할 당시 ▲피해 지원 서비스 ▲후속 조치 지원 ▲일체의 기술 지원을 전부 거부한 것으로 알려졌다. 통신사에서 유례없던 대규모 개인정보 유출과 부실 대응으로 논란이 확산되자, 과방위는 지난 4월 30일과 5월 8일 두 차례에 걸쳐 관련 청문회를 열었다. 번호 이동이나 통신 서비스 해지 시 발생하는 위약금 문제에 대한 논의는 현재 진행 중이다.
◇ SKT, “피해가 발생하면 100% 책임지겠다” … 해킹 이후 유심 교체율 4.6%로 물량 부족해
지난 4월 22일 SKT는 유심 관련 정보의 해킹 정황이 있다는 발표를 한 후, 다음날인 23일 “유심보호서비스 관련 알려드립니다”라는 제목의 보도자료를 발표해 정확한 정보 유출 원인과 규모를 조사하고 있음과 추가적인 조치를 예정 중임을 밝혔다. 이후 24일 SKT는 ▲유심보호서비스 가입 절차를 간소화 ▲상담센터 운영 시간을 연장 ▲사이버 침해 사고 전담센터 24시간 운영 ▲디지털 취약층에게 유심보호서비스에 대해 직접 전화 안내 ▲SKT 알뜰폰까지 유심보호서비스를 확대하는 등 유심보호서비스를 확대하였다. 또한 25일에는 유심 무료 교체 서비스를 시행하겠다고 밝혔으며, 유영상 대표이사가 ‘고객 정보 보호조치 발표문’을 통해 직접 나서 사과했다. 이틀 뒤인 27일에는 “믿고 가입해 주십시오”, “피해가 발생하면 SKT가 100% 책임지겠습니다”라는 발표문을 통해 유심보호서비스 가입을 적극 권장하였다. 다음 날, SKT의 유심 무료 교체 서비스는 시행되었다. 그러나 유심 물량 부족 현상이 지속되자, 5월 1일 정부는 유심 부족이 해소될 때까지 신규 가입을 받지 말 것을 행정지도 하였고, 지난 5일부터 전국 2,600여 개의 T월드 대리점과 온라인에서 신규 가입이 중단되었다. 지난 5월 3일부터 유심보호서비스 자동 가입을 시작하였으며, 5월 7일 기준 해킹 정황 발표 이후 16일간 전체 가입자 2,500만여 명 중 4.6%에 해당하는 115만 명 정도가 유심을 교체하였다. 이에 대해 SKT는 “5월 말까지 500만 개의 유심 물량을 추가 확보할 예정이며, 이후 수요에 따라 더 마련할 계획이다”라고 밝혔다. SKT는 현재까지 지속적인 조사를 진행 중이며, 브리핑을 통해 피해 규모 및 대처법을 알리고 있다.
◇ 국회입법조사처, “SKT가 뒤늦게 대책을 발표하고, 모호한 입장을 취했다”
이번 사태에서 SKT의 대처는 지난 2023년 초 LG유플러스의 개인정보 유출 사고 당시의 대처와는 비교된다. 규모의 차이가 있긴 하나, 개인정보가 유출된 고객들은 원하는 매장에서 신분증만 제시하면 유심을 무상으로 교체 받을 수 있었으며, 택배로 유심을 받아 교체하는 선택지도 있었다. 유심보호서비스의 경우, 가입 시 해외 로밍이 불가능하고, 해외에서 이뤄지는 해킹을 막기 어렵다는 점에서 한계가 있다. 국회입법조사처는 5월 7일 〈통신사 해킹 사고 대응의 문제점과 입법과제〉라는 보고서를 발표하였고, 해당 보고서에서 “(이번 사태에 대해) 기업은 소극적으로 사고를 처리하고 정부가 신속하게 대응하지 못하였다”라고 평을 내렸다. 또한 “SKT가 뒤늦게 유심 무료 교체 서비스를 발표하고 유심보호서비스 가입자에게 피해가 발생할 경우 보상하겠다는 모호한 입장을 취했다”라며, 피해자에 대한 실질적 구제 조치가 미흡함을 꼬집었다. 그리고 “피해를 막기 위해 이동통신사는 별도의 조건 없이 ▲유심 무상 교체 ▲추가 인증 서비스 ▲위약금 면제의 조치를 해야 한다”라고 밝혀 앞으로의 입법 과제가 남아 있음을 제언하였다.