"100% 책임진다"던 SKT…정부, 해킹 '위약금 면제' 첫 공식 인정

4일 정부가 SK텔레콤의 유심(USIM) 해킹 사태에 대해 통신사 측의 '귀책사유'임을 명확히 하며, 가입자의 위약금 면제를 공식 인정했다. 사이버 공격으로 인한 위약금 면제 사례는 전례가 없어 향후 유사 사건에도 적용될지 관심이 집중된다.

과학기술정보통신부는 이날 민관합동조사단의 최종 보고 결과를 발표하고 "이번 침해사고는 SK텔레콤의 귀책사유로 판단된다"며 "위약금 면제 조항 적용 대상에 해당한다"고 밝혔다. SK텔레콤 약관 제43조에는 '회사의 귀책사유로 인해 계약 해지 시 위약금을 면제한다'는 내용이 명시돼 있다.

조사단에 따르면 해킹은 2021년 8월 6일부터 시작돼 총 28개의 서버가 침입당했고, 그 과정에서 33개의 악성코드가 심어졌다. 유출된 유심 정보는 총 25종, 약 9.82GB 규모다. 해커가 침투한 경로는 계정 관리 부실과 과거 사고 대응 미흡, 암호화 조치 부족 등으로 확인됐다.
과기정통부는 "유심 정보는 안전한 통신 서비스 제공을 위한 필수 요소이며, 이번 사고는 회사가 계약상 주된 의무인 안전한 통신 환경을 제공하지 못한 것"이라며 "해지를 요청한 이용자에게 위약금을 부과하는 것은 부당하다"고 밝혔다.

ICT 업계에 따르면 당시 SK텔레콤은 부정사용방지시스템(FDS 1.0)과 유심 보호 서비스를 운영 중이었지만, 후자의 가입자는 5만 명 수준에 그쳤고 FDS 1.0 역시 유심 복제를 완전히 차단하기에는 기술적 한계가 있었다.

과기정통부는 이 같은 판단을 내리기 위해 총 5곳의 법무법인에 자문을 의뢰했으며, 이 중 4곳은 "이번 침해사고는 SK텔레콤의 과실이며, 위약금 면제 규정에 해당한다"는 의견을 밝혔다. 1곳은 판단을 유보했다.

통신업계는 정부의 판단이 '이례적'이라는 입장이다. 지금까지 위약금 면제는 통신 중단이나 품질 저하 등 실질적 피해가 있을 때만 인정돼왔기 때문이다. 이번처럼 개인정보 유출만으로 면제가 결정된 사례는 전무하다. 정부 역시 "이번 결정은 SK텔레콤 약관과 사고에 한정된 것"이라며 일반화 가능성에 선을 그었다.

류제명 과기정통부 제2차관은 브리핑에서 "이번 사례는 계약상 신뢰가 훼손됐느냐에 대한 개별적 판단"이라며 "귀책사유 판단 기준을 보다 구체화할 필요가 있다"고 언급했다.

이와 관련해 김승주 고려대 정보보호대학원 교수는 "국회 TF 내에서도 위약금 면제에 대해 이견이 있었던 것으로 안다"며 "정부가 한정적 적용을 명시한 건 이후 논란을 고려한 신중한 접근"이라고 분석했다.

아울러 SK텔레콤이 정보보호 인력과 투자 수준에서도 타사 대비 낮은 점, 자산 관리 체계 부재 등도 지적됐다. 과기정통부는 SK텔레콤에 이달 내 재발 방지 대책 이행계획을 제출하도록 요구했으며, 연말 점검 후 시정조치를 예고했다.

정부는 이 사안을 계기로 민간 정보보호 거버넌스와 투자를 강화하기 위한 제도 개선안을 국회와 함께 마련하겠다고 덧붙였다.


김지유 글로벌이코노믹 기자 tainmain@g-enews.com