지난 18일 SK텔레콤(이하 SKT)의 메인 서버가 해킹당했다. 이에 SKT는 고객 불안 해소를 위해 전 가입자 대상으로 `유심 무상 교체` 및 `유심보호서비스 가입 후 피해 발생 시 100% 보상` 등의 카드를 내놓은 상황이다. 하지만 최근 이틀간 SKT 가입자 7만 명이 이탈한 것으로 조사되는 등 해킹 사태 여파는 쉬이 가시지 않을 것으로 보인다. 이에 오늘 아유경제 인사이트팀에서는 `SKT 유심 해킹 사고` 진행 상황부터 유사 사례까지 정리해 보려고 한다.
`늑장 대응` 논란 SKT, 해킹 발생 7일만 공식 사과… "유심 무료 교체 지원"
2300만 명의 가입자를 보유한 국내 최대 이동통신사 SKT가 해킹 공격을 받았다. 지난 22일 SKT와 과학기술정보통신부(이하 과기부)에 따르면 SKT는 지난 18일 오후 6시 9분 사내 시스템 이상 움직임을 발견하고 같은 날 오후 11시 20분 내부 분석을 통해 악성코드를 통한 해킹 공격 사실을 확인했다. 이후 20일 오후 4시 46분 KISA(한국인터넷진흥원)에 해당 사고를 신고했다. 그러나 이는 최초 인지 시점부터 약 46시간 만의 신고로, "침해사고 발생 24시간 이내 신고해야 한다"는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)」 제48조의3을 위반한 것 아니냐는 주장이 나왔다. 이에 SKT가 `늑장 신고`한 것 아니냐는 논란이 불거졌다. 이뿐만 아니라 사고 발생 후 5일이 지나도록 가입자에게 해킹 사실 및 관련 조치 등 개별 문자를 발송하지 않아 SKT는 더욱 거센 비판을 받았다. 결국 사고 발생 7일만인 지난 25일 유영상 SKT 최고경영자(CEO)는 공식 석상에서 사과의 말을 전하며, 모든 SKT 고객 대상으로 `유심 무료 교체 서비스`를 제공하겠다고 밝혔다. 한편, 유심 무상 교체 첫날이었던 지난 28일 온ㆍ오프라인은 `대혼란` 그 자체였다. 전국 T월드 매장 앞은 이른 새벽부터 대기를 시작한 가입자들로 장사진을 쳤고 유심 물량은 오전 중 조기 소진되는가 하면, 온라인 유심 예약시스템 역시 오전 내내 접속 장애가 이어지며 `피켓팅`이 벌어졌다. 이에 SKT는 "다음 달(5월) 말까지 500만 개 유심을 추가 확보할 방침"이라며 "다만 `유심보호서비스` 가입만으로도 유심 복제 등 피해를 막을 수 있다"고 강조했다.
대기업ㆍ금융권ㆍ정부 기관 `비상`… 유심 교체 권고 잇따라
국내 최대 규모의 통신사가 해킹을 당하자 강도 높은 보안이 필수적인 대기업ㆍ금융권ㆍ기관 등에도 비상이 걸렸다. 지난 27일 관련 업계에 따르면 삼성그룹은 SKT를 이용 중인 계열사 임원 등을 대상으로 유심 교체를 독려한 것으로 전해졌다. 포스코, HD현대, 한화도 SKT 이용자 등을 대상으로 이미 유심 교체를 권고ㆍ지시한 것으로 알려졌다. 정보기술(IT) 업계 발등에도 불이 떨어졌다. 지난 28일 유관 업계에 따르면 네이버, 카카오는 혹시 모를 정보 유출 방지를 위해 유심 권고 및 교체 방식을 알리는 내용의 사내 공지를 게시했다. 또 지난 22일 부산광역시에서는 한 SKT 휴대전화 이용자의 은행 계좌에서 자신도 모르는 사이에 5000만 원이 빠져나갔다는 피해 신고가 접수되는 등 금융자산 피해 우려가 확산하자 금융권도 대응책을 내놨다. KB국민은행, 하나은행, 신한은행, 우리은행 등은 고객이 금융업무 시 기존 인증 절차에 추가로 화상 얼굴 인증까지 거치도록 시스템을 바꿨다. 보험ㆍ여신업계 등은 SKTㆍSKT 알뜰폰을 활용한 문자인증을 잠정 제한하는 등 문자인증 서비스 대신 본인인증 앱인 패스(PASS)로 인증할 것을 권고했다. 아울러 지난 29일 국가정보원(이하 국정원)에서도 정부 모든 부처에 업무용 SKT 기기 유심 교체를 권고하는 공문을 보낸 것으로 알려졌다. 국정원은 공문을 통해 "유심 교체 이전까지 업무용 단말ㆍ기기 대상으로 `유심보호서비스` 부가 서비스에 가입하라"며 "소속ㆍ산하 기관도 조치할 수 있도록 전파해 달라"고 요청했다.
SKT 주가 `뚝`, 보안주ㆍ유심 제조사는 `상한가`
이달 들어 꾸준한 상승세를 이어가던 SKT 주가는 해킹 사고가 언론에 보도된 다음 날인 이달 23일부터 하락세로 돌아섰다. 이후 유심 무료 교체 서비스 제공을 시작한 28일에는 전 거래일 종가(5만7700원) 대비 6.93% 하락한 5만3700원으로 장을 마감했다. 해킹 사건에 더불어 유심 재고 부족 소식까지 알려지자 투자 심리가 위축된 것으로 분석된다. 반면 경쟁사인 KTㆍLG유플러스의 주가는 상승세를 이어갔다. 또 이번 사고 영향으로 사이버 보안주 및 유심 제조사도 수혜를 받았다. 지난 28일 사이버 보안주인 `한싹`은 전 거래일 종가(1590원) 대비 30% 오른 6890원으로 상한가를 기록했으며, 그 외 보안 관련주들(▲모니터랩 21.76% ▲싸이버원 17.21% ▲샌즈랩 16.83% ▲드림시큐리티 12.99%)도 급등하는 모습을 보였다. 또 같은 날 SKT에 유심을 공급하는 업체로 알려진 `유비벨록스`와 `엑스큐어`도 나란히 상한가를 찍는가 하면, 그 밖에 유심 제조사들(▲한솔인티큐브 22.74% ▲코나아이 8.81%)도 동반 상승했다. 한편, 증권가에서는 이번 사태로 SKT의 불가피한 비용 지출이 발생하는 등 기업 재무 변동성에 유의할 필요는 있지만, 이것만으로 주가 및 주주환원 규모가 훼손될 수준은 아니라는 분석을 내놨다. 김아람 신한투자증권 연구원은 "과징금 등 일회성 비용을 부담하는 수준에서 사태가 진정된다면 주가는 시차를 두고 회복될 가능성이 크다"고 추정했다.
집단소송 움직임… 관련 카페 가입자만 5만4000명 돌파
해킹 사고에 따른 조치로 SKT가 `유심 무상 교체` 및 `유심보호서비스 가입 후 피해 발생 시 100% 보상` 등의 대책을 내놨지만, 고객들은 여전히 불안에 떨고 있다. 이에 법조계 일각에서는 SKT를 상대로 한 집단소송을 무료로 지원하고자 하는 움직임이 포착되기도 했다. 한 법무법인은 지난 28일 `SKT 유심 해킹 및 개인정보 유출 피해자 집단소송 안내`라는 공지를 게시했다. 이들은 해당 공지를 통해 "이번 사건은 단순한 개인정보 유출을 넘어 금융사기, 복제 폰 개통 등 2차 피해로 이어질 수 있는 중대한 사안"이라며 "피해자들의 경제적 부담을 최소화하고자 참가비나 소송 비용을 일체 청구하지 않는 무료 소송 방식으로 이번 집단소송을 진행하겠다"고 전했다. 한편, 국내 최대 포털 사이트 네이버에는 `SK텔레콤 개인정보 유출 집단소송 카페`가 개설되기도 했다. 지난 30일 기준 카페 가입자 수는 5만4000여 명에 달하며, 해당 카페에는 `집단소송 참여 의사가 있다`는 내용의 게시글이 꾸준히 게시되고 있다.
손해배상소송, 주된 법적 쟁점은?
법조계에 따르면 `유심칩 정보 유출` 그 자체만으로도 소비자들은 SKT를 상대로 손해배상 소송을 제기할 수 있다. 하지만 SKT에 실질적 책임을 묻기 위해서는 `SKT의 과실 여부` 및 `과실과 손해 간 인과관계` 등이 입증돼야 하는데, 이 과정이 쉽지는 않을 것이라는 게 전문가들의 설명이다. 안영림 법무법인 선승 변호사는 "정보 유출에 대해 손해배상을 청구할 수는 있지만 인정되는 손해가 적을 수 있고, 배상을 받는다고 해도 소액의 위자료 수준일 것"이라고 지적했다. 최경진 가천대 법학과 교수 역시 "SKT가 법적으로 요구되는 의무를 다했다면 법원에서도 과실을 인정하기가 쉬워 보이지는 않는다"며 "기업의 과실뿐만 아니라 인과관계까지 증명해야 배상받을 수 있을 것"이라고 덧붙였다. 또 민사상 책임과 별개로 형사상 책임을 물을 수 있을지도 주목된다. 이달 30일 서울경찰청 사이버수사과는 `SKT 유심정보 해킹 사건`을 내사(입건 전 조사)단계에서 수사로 전환, 사이버수사과장을 팀장으로 총 22명 규모의 전담수사팀을 확대 편성했다고 밝혔다. 경찰은 현재 SKT의 보안 의무 및 조치 이행 여부, 해킹 사고 발생 경위ㆍ수법, 사고 이후 대응ㆍ조치, 과거 유사 사례 등을 살펴보고 있는 것으로 전해졌다. 만약 수사 과정에서 SKT의 과실 등이 인정되면 SKT는 「형법」상 업무상 과실, 정보통신망법 위반 등 혐의로 형사 처벌도 받게 될 것으로 보인다.
과기부 "단말기 고유식별번호 유출 없다" 1차 조사 결과 발표
지난 29일 정부는 이번 서버 해킹에 중국 해커들이 주로 쓰는 기법이 사용됐다고 밝혔다. 과기부가 발표한 `SKT 침해사고 1차 조사결과`에 따르면, 이번 해킹에는 `BPFDoor` 계열의 악성코드 4종이 쓰인 것으로 드러났다. BPFDoor는 중국 기반 해커 집단에 의해 개발된 신종 해킹 도구로, 은닉성이 높아 해커의 통신 내역을 탐지하기 어렵다는 특징이 있다. 즉, 기업들의 기존 보안 프로그램만으로 완벽하게 탐지하기에 역부족이라는 것이다. 또 오픈소스(개방형 소프트웨어)로 누구나 임의로 코드를 변경해 사용할 수 있어 얼마든지 변종이 가능하다는 점도 취약한 문제점으로 제기된다. 다만 과기부는 "이번 조사 결과 `단말기 고유식별번호(IMEI)` 유출이 없는 것을 확인했다"며 많은 이들이 우려하는 대포폰 개통 등의 스마트폰 복제 피해는 없을 것으로 보인다고 잘라 말했다. 하지만 유심 복제는 IMEI 없이도 가능하다고 전하며, 현재 SKT가 시행 중인 `유심보호서비스`에 가입할 것을 강력히 당부했다.
KTㆍLG유플러스도 겪었던 해킹이지만… "이번엔 좀 달라"
앞서 2012년ㆍ2014년 경쟁 업체인 KT도 해킹 공격을 받은 적이 있다. 이로 인해 2012년에는 고객 870만 명, 2014년에는 1200만 명의 개인정보가 유출됐으며, 피해자들은 KT를 상대로 집단손해배상소송을 제기한 바 있다. 1심 법원은 "KT가 1인당 10만 원씩 배상하라"는 판결을 내렸지만, 이후 대법원이 "KT가 기술적ㆍ관리적 보호조치를 다했다고 볼 수 있어 개인정보 유출에 대한 손해배상 책임이 없다"고 KT의 손을 들어주며 사건은 원고 패소로 마무리됐다. 2023년에는 또 다른 이동통신사인 LG유플러스도 해킹 피해를 입었다. 이로 인해 29만 명의 개인정보가 유출된 것으로 드러났다. 이에 개인정보보호위원회(이하 개인정보위)는 당시 「개인정보 보호법」을 적용, LG유플러스에 `위반 행위 관련 매출의 3%`인 68억 원의 과징금을 부과했다. 다만 일각에서는 SKT의 경우 수천억 원의 과징금 폭탄을 맞을 수도 있다는 추측이 나오고 있다. 지난 29일 정부서울청사에서 열린 개인정보위 정례브리핑에 참석한 최장혁 개인정보위 부위원장은 "SKT는 메인 서버가 해킹당한 것으로 보고 있다"며 "단순 부가서비스 시스템이 침해된 LG유플러스 사건과는 중대성이 다르다"고 강조했다. 또 이번 SKT 사안의 경우 개정된 「개인정보 보호법」이 적용돼 `전체 매출의 3% 이내`에서 과징금을 부과할 수 있는데, SKT의 연매출이 17조 원에 달하는 것을 고려하면 이론상 5000억 원의 과징금 부과도 가능하게 되는 것이다. 하지만 이에 최 부위원장은 "아직 조사는 초기 단계"라며 "관련 없는 매출은 제외하고 감경 사유도 고려해야 하므로 과징금 산정은 시기상조"라고 설명했다.
ⓒ AU경제 (http://www.areyou.co.kr/) 무단전재 및 재배포 금지
정치
제목
