[딜사이트 최령 기자] 지난해 4월 22일 SK텔레콤이 유심 정보 유출 사실을 공식 발표한 지 1년이 지났지만 피해자 구제와 배후 수사는 여전히 평행선을 달리고 있다.  통신사들은 전사적 역량을 총 동원해 과징금 깎기에 온힘을 기울이고 있고, 개인정보 유출 피해보상 역시 최소화를 위해 시간 벌기에 나섰다. 정작 칼을 빼들어야하는 과기정통부는 통신사들의 '물타기'에도 불구하고 이를 묵인해주고 있는 모양새다.  

업계에 따르면 SK텔레콤의 해킹 사태는 IMSI 기준 2695만7749건이 유출된 국내 통신 역사상 최대 규모 사고였다. 해커는 2021년 8월 내부망에 최초 침투해 3년 8개월간 잠복했으며 SK텔레콤이 2022년 자체 점검에서 악성코드 감염 사실을 인지하고도 당국에 신고하지 않은 것으로 드러나 부실 대응 논란을 키웠다. 민관합동조사단 최종 조사 결과 침해 서버 28대에서 'BPF도어' 변종을 포함한 악성코드 33종이 발견됐고 유심인증키(K값)·가입자식별번호(IMSI) 등 유심 관련 25종 정보 9.82GB가 외부로 빠져나갔다.

사고는 SK텔레콤에서 끝나지 않고 KT와 LG유플러스에게 퍼져나갔다. 지난해 9월 KT에서는 불법 펨토셀을 이용한 해킹으로 368명·2억4300만원 규모 금전 피해가 확인됐다. 정부 조사에서 KT는 서버 94대 악성코드 감염과 가입자 2만2227명 개인정보 유출이 추가로 드러났다. LG유플러스는 지난해 7월 정부로부터 사이버 침해 정황을 통보받아 조사가 시작됐고 IMSI에 전화번호를 연동하는 구조적 취약점이 드러나면서 올해 3월부터 전 고객 유심 교체에 착수했다. 1년 사이 이통 3사 모두 보안 사고를 피하지 못하면서 통신사 어디로 옮겨도 마찬가지라는 소비자 불신이 확산됐다.

이에 따른 정부 제재도 이어지고 있다. 개인정보보호위원회(개보위)는 망분리·접근통제 미흡 등을 이유로 SK텔레콤에 역대 최대 규모인 과징금 1347억9100만원을 부과했다. SK텔레콤은 불복해 올해 1월 서울행정법원에 취소 소송을 제기했으며 9월부터 본격적인 법리 다툼이 펼쳐질 전망이다. KT에 대한 과징금 부과도 임박한 것으로 알려졌다. 1000억원대 제재가 현실화하면 박윤영 체제의 실적 부담으로 직결될 수 있다. 오는 9월 11일 시행 예정인 개인정보보호법 개정안은 반복·중대한 위반 시 과징금 상한을 전체 매출액의 최대 10%까지 올리는 내용을 담고 있어 향후 유사 사고 발생 시 파급력은 지금보다 훨씬 커질 것으로 예상된다.

반면 통신사들의 방어도 거세다. 통신사들은 과도한 과징금이 AI 등 신사업 저해라는 명목으로 과징금과 피해 구제 규모 줄이기에 총력을 기울이고 있다. SK텔레콤은 소비자원·통신분쟁조정위·개보위 분쟁조정위가 잇따라 제시한 조정안을 모두 거부했다. 소비자원은 소송 지원으로 방향을 틀어 최근 서울중앙지법에 1인당 위자료 10만원을 청구하는 손해배상 소송이 제기됐고 별도로 소비자 1만5900명이 참여한 손해배상 소송 3건이 병합돼 지난달 26일 1차 변론이 열렸다. 

원고들은 1인당 50만원 위자료를 청구한 상태다. 집단소송제가 증권 분야에만 제한적으로 도입돼 있어 대다수 피해자는 개별 소송에 직접 나서지 않는 한 배상받기 어려운 구조가 반복되고 있다. 정부와 여당이 집단소송법 소급 적용을 추진 중인 만큼 소송 확대 가능성도 열려 있다.

통신업계 관계자는 "사고 발생 후 1년이 지나며 기술적인 복구는 어느 정도 마무리되었을지 모르지만 기업들이 보여준 대응 방식에 대한 시장의 평가는 이제부터가 시작"이라며 "단순히 막대한 투자 금액을 발표하는 데 그치지 않고 현재 진행 중인 수사와 소송 과정에서 얼마나 투명하게 책임을 다하느냐가 신뢰 회복의 관건이 될 것"이라고 내다봤다.

배후를 향한 수사는 아직 갈 길이 멀다. 서울경찰청은 22명 규모 전담수사팀을 꾸려 미국 등 5개국 수사기관과 공조에 나섰으나 1년이 지나도록 결론을 내지 못했다. 국가 간 사이버범죄 수사 공조를 위한 국제조약인 '부다페스트 협약'에 한국이 미가입 상태인 탓에 신속한 증거 보전 요청이 어렵다는 구조적 한계도 여전하다. 

한국은 지난해 말 가입 전제 조건인 데이터 보전 요청 제도를 입법하고 현재 가입 절차를 밟고 있지만 아직 완료되지 않은 상태다. 국내에서 범행이 이뤄진 KT 펨토셀 해킹의 경우 가담 중국 국적 피고인들이 지난 9일 1심에서 주범 장모씨에게 징역 4년6개월을 포함해 줄줄이 실형을 선고받았다. 다만 경찰은 이들에게 범행을 지시한 중국 내 총책에 대해 인터폴 적색수배를 요청한 상태로, 윗선 추적은 여전히 진행 중이다.

수사 전선은 해킹 배후를 넘어 통신 3사의 증거 은폐 의혹으로 확대됐다. 경찰은 과기정통부 자료 보전 명령에도 서버 2대를 포렌식 불가 상태로 처리한 SKT를 정보통신망법 위반 혐의로 들여다보고 있다. KT는 해킹 서버 폐기 시점을 허위 보고하고 백업 로그 제출을 지연한 혐의를 받고 있다. LG유플러스는 침해 정황 통보 이후 점검 과정에서 문제 서버 운영체제를 재설치해 원본 훼손 의혹에 휘말렸으며 서울경찰청 반부패수사대는 지난달 중순 LG유플러스 통합관제센터를 압수수색했다.

익명을 요구한 업계 관계자는 "1년 전의 혼란이 되풀이 되지 않으려면 통신사들이 보안을 '비용'이 아닌 '생존 전략'으로 인식하는 근본적인 체질 개선이 필요하다"며 "오는 9월 강화된 개인정보보호법 시행을 앞두고 있는 만큼 남은 수사 결과와 법원의 판단이 향후 국내 ICT 보안 생태계의 새로운 기준점이 될 것으로 보인다"고 밝혔다.