[딜사이트 최령 기자] 통신 3사가 줄줄이 보안 사고를 겪으며 거버넌스 강화와 법제도 정비 등 적지 않은 변화가 나타났지만 피해를 입은 소비자들이 실질적인 구제를 받을 수 있는 구조는 1년 전과 크게 달라지지 않았다는 평가가 나오고 있다.

SK텔레콤은 사고 직후 그간 경영진과 분리 운영되던 최고정보보호책임자(CISO) 조직을 대표이사 직속으로 올리고 삼성전자·아마존 등 국내외 보안 현장을 거친 이종현 박사를 외부에서 수혈했다. 이사회에도 보안 전문가를 앉혔고 '제로 트러스트'를 보안 운영의 기본 원칙으로 삼았다. 올해 초에는 클라우드·공급망 보안 등 최신 위협 환경을 반영해 17개 정보보호 처리 지침을 전면 정비했다. 5년간 7000억원을 쏟아붓겠다는 투자 계획도 내놨다.

KT 역시 정보보안 조직을 실급으로 격상해 CEO 직속 체제로 재편한 데 이어 금융결제원 출신 이상운 전무를 정보보안실장 겸 CISO로 영입하며 외부 전문성을 보강했다. 이달 29일에는 AI 기반 실시간 위협 탐지와 단일 창구 피해 처리를 골자로 한 '고객보호365TF'도 출범시켰다. 박윤영 KT 대표가 취임 이후 첫 현장 행보로 네트워크·보안 관제센터를 찾은 것도 같은 맥락이다.

반면 LG유플러스는 온도가 사뭇 다르다. 가입자식별번호(IMSI)에 실제 전화번호를 연동해 온 구조적 취약점이 올해 3월 드러난 뒤에야 4월부터 전 고객 유심 교체와 IMSI 난수화에 착수했고 증거 인멸 의혹으로 경찰 수사가 진행 중인 상황에서도 피해 보상이나 위약금 면제 조치는 내놓지 않고 있다. 소비자주권시민회의는 27일 성명을 내고 "고의적 은폐 또는 조사 방해 행위가 최종 확인될 경우 이용자 위약금 전면 면제와 피해 배상은 당연히 뒤따라야 한다"며 정부에도 선제적 이용자 보호 조치를 촉구하기도 했다.

법 테두리도 바뀌었다. SK텔레콤 사태 직후 국회에는 개인정보보호법 개정안 14건이 쏟아졌고, 이를 통합한 개정안이 지난 2월 본회의를 통과했다. 오는 9월 시행되는 개정안은 3년 이내 반복 위반이나 피해 규모 1000만명 이상 등 일정 요건을 충족하면 과징금 상한을 기존 관련 매출액 3%에서 전체 매출액 10%까지 높일 수 있도록 했다. 대표이사를 개인정보 보호의 최종 책임자로 못 박고 실제 유출이 아닌 '유출 가능성' 단계에서도 고객에게 알리도록 의무화한 것도 핵심 변화다. 2027년부터는 유가증권·코스닥 상장 법인 전체로 정보보호 공시 의무가 확대된다.

정작 소비자들의 반응은 무감각해지는 방향으로 흐르고 있다. LG유플러스가 이달 13일부터 전 고객 유심 교체에 나섰지만 28일 기준 누적 교체율은 7.8%에 머물렀다. 누적 업데이트·교체 건수를 합쳐도 132만8718건으로 1년 전 SK텔레콤 유심 대란 당시 매장 앞에 수백 명씩 줄을 섰던 풍경과는 사뭇 다르다. 보안 사고가 반복되면서 위기감 자체가 희석되는 현상이 통신 분야에서도 나타나고 있다는 분석이 나온다.

다만 구제 창구는 여전히 막혀 있다. SK텔레콤은 지난해 8월 방통위 통신분쟁조정위를 시작으로 개인정보보호위원회 분쟁조정위, 소비자원까지 세 기관이 잇따라 내민 조정안을 모두 거부했다. 소비자 1만5900명이 1인당 50만원 배상을 청구한 소송 3건은 병합돼 지난달 26일 1차 변론이 열렸으며 법무법인 대건이 이끄는 2차 공동소송에는 8만명 이상이 참여해 6만명분의 소장이 이미 접수된 상태다. 

KT는 개인정보보호위원회의 과징금 부과가 임박한 것으로 알려진 가운데 경찰 수사도 병행되고 있다. LG유플러스 역시 증거 인멸 의혹으로 수사가 진행 중이지만 피해 보상 방안은 여전히 나오지 않고 있다. 국회입법조사처는 고의적인 증거 인멸이나 조사 방해가 확인될 경우 약관상 회사 귀책 사유로 판단할 수 있어 위약금 면제 사유에 해당한다고 밝혔지만 LG유플러스는 수사 결과를 지켜보겠다는 입장을 내놓고 있다.

익명을 요구한 통신 업계 관계자는 "CISO 조직 격상과 대규모 예산 투입은 보안을 단순한 비용이 아닌 리스크 관리의 핵심으로 보겠다는 경영진의 의지가 반영된 것"이라며 "제로 트러스트 도입 등 일련의 변화는 단순한 사후 수습을 넘어 차세대 보안 위협에 선제적으로 대응하기 위한 근본적인 체질 개선으로 봐달라"고 말했다.

문형남 숙명여자대학교 글로벌융합대학 학장은 "통신사들이 계속해서 보안 이슈가 있었던 것 자체가 굉장히 큰 문제인데 초기 대응이 늦었고 사후 조치도 부실했다"며 "소비자가 추후 집단 소송에 나설 가능성을 배제할 수 없을 뿐더러 정부의 제재도 충분하지 않았다고 생각한다"고 말했다.

이어 "통신사들은 더 깊이 반성하며 소비자들의 신뢰를 회복하고 정부 역시 기업의 관리·감독을 강화해야 한다"며 "이번 소비자들의 움직임을 계기로 재발 방지를 위한 점검이 제대로 이뤄지길 바란다"고 강조했다.