[성명]
SKT 유심정보 유출사태, 미래를 위해 좌시해서는 안 될 문제이다
지난 4. 22. SK텔레콤(이하 ‘SKT’)이 해커에 의한 악성코드로 유심(USIM) 관련 일부 정보가 유출된 정황을 확인하였다고 발표하였다. 약 2,500만명에 달하는 서비스 이용자들은 해킹 사실이 언론에 보도된 이후 해킹으로 인하여 자신의 핸드폰이 복제될 수도 있다는 사실을 알게 되었고, 그 불안감은 일파만파로 커지고 있다. SKT는 정보통신사업자가 안전한 시스템에서 고객의 정보를 관리할 것이라는 국민의 신뢰를 철저하게 저버렸다.
이번 사태는 대한민국 통신사가 설립된 이후 발생한 최악의 해킹사고이다. 우리 위원회는 SKT가 약 2,500만명의 유심 정보를 암호화 하지 않은 상태로 저장하는 등 안전조치를 소홀히 하고, 미흡한 대처로 극도의 불안감을 조성한 것을 엄중히 규탄하면서 적극적이고 책임감있는 자세로 사후조치에 임할 것을 강력히 촉구한다. 나아가 관련 부처에 징벌적 손해배상제도, 입증책임 전환 등 제도개선을 추진할 것을 요구한다.
2025. 4. 24. 관련 정부부처와 민간전문가로 구성된 민관합동조사단이 출범하였다. 민관합동조사단은 해킹으로 인한 피해의 규모 등을 조사하고 있으며, 민관합동조사단이 4. 29. 발표한 1차 분석결과에 따르면 유출이 확인된 정보는 가입자 전화번호, 가입자식별키(IMSI) 등 유심(USIM) 복제에 활용될 수 있는 4종과 유심(USIM) 정보 처리 등에 필요한 SKT 관리용 정보 21종이다.
유심정보는 서비스 이용자와 해당 기기를 식별하는 정보로서, 유심정보가 담긴 유심카드를 다른 휴대폰에 그대로 사용하면 이전 통신사 서비스를 그대로 이용할 수 있다. 즉, 유심정보는 본인의 존재를 식별하는 정보통신시스템 상의 주민등록번호로 비유되고 있다. 유심에 담긴 정보는 개인의 이름을 지명하지 않는 단순한 숫자 및 기호의 조합이라고 하더라도, 유출 시 다른 정보와의 결합을 통하여 해당 정보주체인 이용자의 금융 관련 거래와 온오프라인에서 본인인증을 통해 하는 활동 등 삶의 중요한 영역을 침범할 수 있는 도구로 사용될 수 있다.
유심정보는 이용자가 정보통신사업자로부터 통신서비스를 제공 받기 위하여 필수적으로 부여되어 그 처리가 이루어지고, 정보주체인 이용자는 정보통신사업자를 믿고 자신을 식별할 수 있게 용인하였다. 안전한 시스템 속에서 정보를 관리해 줄 것이라는 신뢰를 주었던 것이다. 그러나, 가입자 유심정보를 암호화 하지 않은 상태에서 보관하는 등 기본적인 보안조치가 이루어지지 않은 것이 확인되는 등 이번 사태로 인하여 그 신뢰가 무너졌다.
설상가상으로 SKT가 정보유출 가능성을 인지한 이후부터 현재에 이르는 과정에서 보인 대처능력은 비판을 넘어 비난받아 마땅한 수준이었다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조의3 제4항 및 동법 시행령 제58조의2 제3항에 따라 SKT는 24시간 내에 관계기관에 침해사실을 신고하였어야 하나, SKT가 KISA에 최초 신고를 한 것은 2025. 4. 20. 16:46으로 24시간이 지난 시점이다. 이후 피해사실을 2025. 4. 22. 홈페이지에만 공지하고 별도 문자 공지를 하지 않아 고객들은 뉴스로 피해사실을 확인하여야 했다. SKT는 유심교체 물량을 확보하지 못해 지금까지 유심교체를 원하는 고객들이 하염없이 대기하여야 하는 상황이고, 사고 직후 교체 방법과 시기를 적절히 공지하지 않아 불만과 두려움을 확대재생산하였다. 현재까지 SKT는 다른 통신사로 이동을 원하는 고객의 위약금을 면제하는 방법과 사태가 해결될 때까지 신규고객 유치를 중단하라는 정부의 권고에 묵묵부답하고 있다.
이번 사태를 겪으며 가장 많이 회자된 것이 ‘징벌적 손해배상’제도이다. 수년에 걸친 논의에도 불구하고 징벌적 손해배상제도는 법제화 되지 않았고, 여전히 피해자인 고객이 자신에게 발생한 피해, 손해 그리고 기업의 위법행위를 입증해야만 손해배상을 받을 수 있는 체계인 것이다. 관계부처와 국회의 친기업적 태도로 징벌적 손해배상제도와 입증책임 전환 관련 법률안이 번번이 폐기되었다. 사회는 고도화 되었고, 현재의 후진적 제도로 이 문제를 해결할 수 없음이 자명하다. 정부와 국회는 근본적인 제도 개선안을 마련하여야 한다.
자신의 정보에 대한 통제권은 자신의 재산 뿐만 아니라, 자신의 삶의 영역을 타인으로부터 보호받을 수 있는 헌법 상 권리이며, 현대사회에서 인간이 삶을 보전할 수 있는 근원적인 규범이다.
이번 사태를 풀어 나가는 해법은 데이터기반으로 발전을 추구하고자 하는 데이터산업 시대에 정보주체의 권리는 도외시하고 수익만을 앞세우는 기업들과 무조건적인 기술개발을 지지수단 으로 보는 편향된 국가권력의 모습에서 정보주체인 시민이 안전하게 자신을 지킬 수 있는 기술발전의 방향으로 전환하고 이것을 어떻게 만들어 갈 것인지를 고민하고 답을 찾는 것으로 이루어져야 한다. 즉 이 번 사태를 풀어나가는 우리의 모습은 우리 미래에 대한 시금석이 될 것이라고 본다.. 이를 위하여 우리 위원회는 사후 대응과 관련하여 다음과 같은 의견을 제안한다.
첫째, 원인과 결과에 대한 철저한 조사와 그 결과에 대한 투명한 공개가 필요하다.
둘째, 국가기반 산업을 비롯한 국가기관의 정보 집중 시도에 있어 안전성 확보를 위해 근원적인 고민을 하여야 한다.
셋째, 조속한 권리 구제를 위한 제도적 보완을 하여야 한다.
위원회는 위와 같은 방향으로 사태가 해결될 수 있도록 지속적으로 관심을 가지고 이 사태를 지켜보고 의견을 개진할 것이다. 나아가 피해고객이 충분한 구제를 받을 수 있도록 적극적으로 문제해결을 위해 노력할 것이다.
2025년 5월 8일
민주사회를 위한 변호사모임 디지털정보위원회
Post Views: 824