개인정보분쟁조정위원회는 4일 약 2300만명의 가입자 개인정보를 유출한 SK텔레콤(SKT)을 상대로 제기된 분쟁조정 신청 사건에 대해 SKT가 신청인들에게 각 30만원의 손해배상금을 지급하도록 하는 조정안을 의결했다. 현재 분쟁조정에 참여한 신청인은 3998명이지만, 전체 피해자 2300만명에게 같은 조정안이 적용될 경우 전체 배상액은 최대 6조9000억원이 될 수 있다.

분쟁조정위는 3일 제59차 전체회의를 열어 이 같은 결정을 내리고, SKT에 개인정보 보호조치 강화 등 재발방지 대책을 함께 권고했다. 앞서 SKT는 해킹으로 개인정보가 유출된 사실을 올해 4월 18일에 확인했으며, 공식 발표 및 사과는 그로부터 나흘이 지난 22일에 이뤄졌다. 앞서 해킹은 2021년 8월 초에 시작된 것으로 보이며, 악성코드 발견일은 2022년 2월 말이었다. 이번 결정은 SKT가 공식 발표를 통해 사과한 올해 4월부터 집단분쟁 3267명(3건), 개인신청 731명 등 총 3998명이 SKT를 상대로 제기한 분쟁조정 신청에 따른 것이다.

◇SKT 해킹 유출 정보와 대응 실태 살펴보니

이번 사고는 우리나라 통신 보안 역사상 가장 큰 규모의 개인정보 유출사고로 기록됐다. 피해 규모는 약 2696만건의 유심 정보가 유출됐으며, 유출 항목은 △IMSI(International Mobile Subscriber Indentity, 가입자식별번호) △ICCID(integrated Circuit Card indentifier, 유심카드고유식별번호) △유심고유인증키(K값) △OPc(Operator Code/derived, 통신사 인증 연산 위한 보안 강화키) 등 25종의 정보다. 이번 사고로 인해 SKT 통신망을 이용하는 SKT 및 알뜰폰(MVNO) 가입자 전체가 피해를 입었다.

SKT는 피해가 확인된 이후 일주일여가 지난 4월 28일부터 유심 무상 교체를 시작했다. 또 과학기술정보통신부, 개인정보보호위원회 등에서 비상대책반을 구성했다. SKT 측에서는 유심 보호 서비스를 제공하고, 보안 체계를 재점검했으며, 고객 보상 프로그램을 시행했다.

SKT는 이후 보안 강화를 위해 향후 5년간 총 7000억원을 투자하는 ‘정보보호혁신안’을 발표했다. 정보보호혁신안의 주된 내용은 △총 7000억원 규모의 보안 투자를 향후 5년간 집행 △정보보호 인력 2배 확대 및 보안 기술·시스템 강화 △정보보호기금 100억원 출연해 대학·스타트업과 협력해 생태계 조성 △CISO(Chief Information Security Officer, 정보보호최고책임자)  조직 CEO 직속 격상, 이사회에 보안 전문가 영입 △레드팀 신설 및 정기적 모의 해킹 도입 △인증·권한 관리, AI 기반 보안관제 등 포함한 ‘제로 트러스트’ 기반 보안 체계 구축 등이다.

◇SKT 해킹, 핵심 문제점 네 가지는

이번 SKT 해킹 사고는 단순한 보안 사고를 넘어 기업의 보안 체계 전반과 함께 국가통신 인프라의 취약성을 여실히 드러낸 사건이다. SKT 해킹은 ‘기술적 보안 취약점’ 등 네 가지로 요약할 수 있다.

첫 번째는 ‘기술적 보안 취약점’이다. SKT는 관리자 계정 정보를 평문으로 저장했다. 핵심 서버에 관리자 아이디·패스워드가 암호화되지 않은채 평문으로 저장돼 있었다. 해커는 이를 이용해 내부 시스템에 자유롭게 접근했다. 또 다단계 인증(MFA)의 미적용 문제다. 일부 내부 시스템에는 추가 인증 절차가 없어 권한 탈취 후 수평 이동으로 손쉽게 침투할 수 있었다. 구형 서버 및 보안 패치 지연에서는 오래된 시스템에 대한 보안 업데이트가 늦어져 취약점이 방치됐다. 유심인증키(Ki)도 평문 저장됐다. 국제적으로 암호화를 권장하는 민감 정보가 암호화되지 않은 채 저장돼 있었다.

두 번째는 ‘내부 보안 관리 부실’이다. 내부 직원의 보안 교육 부족으로 피싱 메일에 대한 인식이 낮아 공격에 쉽게 노출됐다. 사용하지 않는 비활성 계정이 방치된채 관리가 미흡했고, 공격자가 이를 악용할 수 있었다. 불필요한 관리자 권한이 과도하게 부여돼 내부 시스템 전체가 위험에 노출되는 등 권한 분리 원칙이 준수되지 않았다.

세 번째는 ‘사고 대응의 문제점’이다. 해킹 등 보안사고가 발생하면 법적으로 24시간 내 신고 의무가 있음에도 SKT는 사고를 인지한 이후 41시간이 지난 뒤에야 신고했다. 자료 보존 명령 이후 일부 서버 설정 변경도 문제가 됐다. 해킹 사고를 정부에 신고한 이후 정부가 자료 보존 명령을 내렸는데도 일부 서비에서 설정 변경이 확인돼 수사에 혼란을 초래했다. 또 침입 탐지 후 포렌식 분석이 즉시 이뤄지지 않아 피해 확산을 막지 못했다.

네 번째는 ‘피해 규모 및 사회적 파장’이다. 약 2324만명의 가입자 정보(전화번호, IMSI, KI 등 25종)가 유출되는 등 최대 규모의 개인정보 유출 사고가 됐다. 유심 교체 혼란 및 복제 피해 우려 등 정신적 피해가 인정돼 1인당 30만원의 배상조정안이 의결됐다. 기업 신뢰도 하락으로 고객 이탈이 줄이었고, 요금 할인과 1348억원의 과징금 등으로 영업이익이 90% 이상 떨어지는 등 수익이 급감했다.

◇유출 피해자, 정신적 손해배상 6조원대 가능성

분쟁조정위는 유출정보 악용으로 인한 휴대전화 복제 피해 불안과 유심 교체 과정에서 겪은 혼란과 불편에 대해 정신적 손해를 인정해 손해배상금을 결정했다. 또 SKT에 대해서는 △내부관리계획 수립·이행 △개인정보처리시스템의 안전조치 강화 등 전반적인 개인정보 보호 대책을 마련하고 충실히 이행할 것을 권고했다.

이번 배상금 산정에는 보호조치 미비, 유출 규모, 사후 보상 및 안전조치 강화 노력 등이 종합적으로 고려됐다, 특히 사건별 사실관계에 대한 쌍방의 차이가 커 다른 조정 사례와 단순 비교는 적절하지 않다고 분쟁조정위원회는 설명했다.

분쟁조정위는 조정안을 신청인과 SKT에 통지했으며, 양측은 통지일로부터 15일 이내에 수락 여부를 밝혀야 한다. 조정이 성립될 경우 그 내용은 ‘재판상 화해’와 같은 효력을 내며, 어느 한쪽이라도 이를 거부하면 조정은 불성립돼 사건이 종료된다.

이번 분쟁조정에 참여한 신청인은 3998명으로 전체 피해 추정치인 2324만4649명의 0.02%에 불과하다. 전체 피해자가 같은 조건으로 분쟁조정을 신청해 모두 조정이 성립되는 경우에는 산술적인 배상액은 최대 약 6조9000억원에 이를 것으로 보인다. 다만 분쟁조정은 ‘신청주의’ 절차로 운영돼 법적 절차상 당사자의 신청이 있어야만 절차가 개시된다. 또 SKT가 분쟁조정위의 조정안을 받아들이지 않을 가능성도 거론되고 있다.

일부 피해자들은 SKT를 대상으로 유출된 개인정보에 대해 원상회복을 요구했다. 개인정보분쟁조정위원회도 이 같은 피해자에 대한 개인정보 원상회복을 요청했지만, SKT 측은 시스템적으로 사실상 불가능하다는 입장을 냈다. 분쟁조정위는 최종적으로 개인정보 유출사고의 특성상 이미 외부로 노출된 정보는 회수하거나 원상태로 되돌리는 것은 불가능하다고 판단했다. 그 결과 피해자들이 제시한 원상회복 요청은 기각됐다. 그 대신 정신적 손해에 대한 금전적 배상이 조정안에 포함됐다.

우지숙 분쟁조정위원장 직무대행은 이번 결정에서 “분쟁조정위가 당사자들의 주장과 의견을 심도 있게 논의해 조정안을 마련한 만큼, 조정이 성립돼 신청인들의 피해가 적극적으로 구제되길 기대한다”고 말했다.

SKT 관계자는 “회사의 사고수습과 자발적이고 선제적인 보상 노력이 충분히 반영되지 않아 아쉽다”며 “조정안 수락 여부는 관련 내용을 자세히 검토한 후 신중히 결정할 것”이라는 입장을 냈다.

한편 이번 사고는 통신 인프라의 국가안보적 중요성이 재조명되는 계기가 됐다. 통신사는 단순한 민간기업이 아닌 국가 기반시설의 하나로 인식해 보안 책임이 강조됐다. 또 사고 초기 신고 등 대응 절차, 조사 투명성, 법적 제재 기준 강화의 필요성 등 정부 대응체계의 개선사항도 제기됐다.