[로리더] 민주사회를 위한 변호사모임(민변) 디지털정보위원회는 11일, SK텔레콤의 유심(USIM) 정보 유출사태 피해자 약 3300명을 대리해 집단분쟁조정을 신청한다.
민변 디지털정보위는 이날 오전 10시 30분, 서울정부종합청사 정문 앞에서 기자회견을 열어 “SKT는 가입자 식별키 기준 2695만 7749건의 유심정보가 유출되는 역대 최대 규모의 정보 유출 사태에도 피해자에 대한 어떠한 실질적 구제조치를 취하지 않고 있다”면서 “이와 관련해 개인정보보호위원회에 피해자 3266명을 대리해 개인정보분쟁조정 신청서를 제출한다”고 밝혔다.
이번 신청에 대해 대리인단은 “SKT가 통신망 인증에 사용되는 핵심 개인정보를 보호하지 않아 대규모 유출을 초래한 사건에 대해 법률상 책임을 묻고 실질적 구제를 요청하기 위한 것”이라고 전했다.
민변 고민성 변호사는 “이번 사건은 국내 최대 통신사업자인 SKT가 관리하던 유심 관련 중요 개인정보가 대규모로 유출된 전례 없는 사안”이라면서 “SKT가 개인정보보호법상 보호의무를 중대하게 위반해 피해자들의 정보인권을 말살시킨 사건”이라고 규정했다.
고민성 변호사는 “SKT는 이동통신서비스 제공자로서 이용자들의 이름, 생년월일, 전화번호, 이메일, 단말기식별번호(IMEI), 가입자식별번호(IMSI), 유심 인증키(Ki) 등 고도의 중요 개인정보를 보유하고 운영해 왔다”면서 “해당 유심 정보는 통화, 문자, 금융 인증 등 시민의 일상생활과 직결되는 민감한 인증정보로, 유출될 경우 심각한 2차 피해로 이 어질 수 있는 정보들”이라고 지적했다.
고민성 변호사는 “SKT는 이러한 정보들을 보호해야 할 법적ㆍ윤리적 책임과 의무를 지닌 개인정보처리자임에도 불구하고, 이를 명백히 저버렸다는 점에서 매우 중대한 책임을 져야 할 것”이라고 비판했다.
민관합동조사단의 조사 결과 및 개인정보보호위원회 보도자료에 따르면, 이번 유심 해킹 사태는 2022년 6월 15일 서버에 악성코드가 침투하면서 시작됐음에도 불구하고 SKT는 약 3년이 지난 2025년 4월에서야 뒤늦게 인지했다.
유심정보 해킹으로 유출된 데이터는 9.82GB(기가바이트)에 달하며, 이는 가입자식별번호 기준 약 2700만 건에 달해 사실상 SKT를 사용하는 모든 국민의 유심정보가 유출된 것이다. 해킹에 사용된 악성코드는 총 25종이며 서버 23대 중 18대에 이름, 생년월일, 전화번호, 주소, IMEI 등 238종에 이르는 개인정보가 포함됐다.
특히 IMEI와 Ki는 통신망 인증의 핵심 정보로, 유출 시 핸드폰 복제, 명의도용 등 2차 피해 우려도 있다. 특히 일부 서버의 접속 기록은 최근 4개월치만 보관되고 있었고, 나머지 2년 6개월 이상의 로그는 남아 있지 않아, 유출 경로조차 확인이 불가능하다.
민변 고민성 변호사는 “사실을 바탕으로 우리가 내릴 수 있는 결론은, 이번 유심 해킹 사태가 단순한 외부 공격이 아니라, SKT의 반복적인 의무해태에서 비롯한 법률 위반이 만들어낸 인재라는 점이 자명하다는 것”이라고 질타했다.
고민성 변호사는 “우선, SKT는 통신 인증의 핵심 정보인 IMSI와 Ki를 암호화하지 않고 평문으로 저장해 왔는데, 이는 개인정보보호법상 금지된 행위로, SKT 스스로도 국회 청문회에서 비암호화 사실을 인정했다”면서 “이 같은 조치는 고객 정보 보호에 대한 기본 인식조차 결여된 태도로, 해킹을 사실상 방치한 것이나 다름없다”고 비판했다.
또한, 고민성 변호사는 접속기록을 4개월 치만 보관한 것에 대해서도 “법령이 정한 보안 모니터링 의무를 철저히 무시했다”면서 “이는 기술적 조치를 소홀히 한 수준을 넘어, 스스로 보안의 사각지대를 만든 중대한 위법행위”라고 꼬집었다.
민변은 “개인정보보호법 시행령 제30조 제5호는 개인정보 침해사고 발생에 대비해 개인정보처리자는 개인정보처리시스템에 접속한 자의 접속일시, 처리내역 등의 접속기록을 저장ㆍ점검해야 한다고 명시하고 있다”면서 시행령 위반이라고 설명하고 있다.
고민성 변호사는 “그뿐만 아니라, SKT는 개인정보 유출 사실을 인지하고도 즉각적인 개별 통지를 하지 않았다”면서 “피해자들은 유출 사실을 직접 통보받지 못한 채 스스로 관련 정보를 찾아보며 수 주를 불안 속에 방치됐다”고 강조했다.
개인정보보호법 제34조 제1항에 따르면, 개인정보처리자는 개인정보가 분실ㆍ도난ㆍ유출됐음을 알게 됐을 때는 지체 없이 해당 정보주체들에게 알려야 한다고 규정하고 있다. 표준개인정보보호지침 제26조의제1항에 따르면, ‘지체 없이’는 유출 등이 됐음을 알게 된 때로부터 72시간 이내를 의미한다.
민변 고민성 변호사는 “SKT가 발표한 유심 보호 서비스 또한 실효성이 의심된다”면서 “IMEI가 유출된 이상, 통신망 차단은 쉽게 우회될 수 있으며, 유심 교체는 물량 부족으로 제대로 이뤄지지 않고 있다”고 지적했다.
고민성 변호사는 “시민들은 대리점을 수차례 찾아야 했고, 유심 수량 오류 등 어처구니없는 실수로 인해 불편이 가중돼고 있다”고 덧붙였다.
고민성 변호사는 “이번 사태는 SKT가 개인정보처리자로서 개인정보보호법 제29조가 규정하고 있는 안전조치의무를 총체적으로 위반한 사건”이라면서 다음 요구 사항을 제시했다.
첫째, 침해행위의 즉각 중지를 요구한다.
SKT는 개인정보 유출 사실을 인지한 이후에도 피해 확산을 막기 위한 실효적인 조치를 취하지 않았다. 현재까지도 피해자들은 본인의 개인정보가 어떻게, 어디로 유출되었는지조차 제대로 통지받지 못한 상황이다. SKT는 유출된 정보의 사용 가능성을 원천 차단하고, 2ㆍ3차 피해 확산을 막기 위한 근본적인 대응 조치를 즉시 시행할 것을 강력히 촉구한다.
둘째, 손해배상 책임의 이행을 요구한다.
SKT의 보안 실패와 법령 위반으로 인해 수많은 정보 주체들이 중대한 개인정보 침해를 입었다. 그 피해는 정신적 고통과 함께 실질적인 생활 불편과 불안을 초래하고 있다. 일부 이용자분들은 유출된 정보로 인한 통신사기ㆍ금융사기 위험 속에 단말기를 바꿀지까지 고민하고 있다. SKT는 개인정보보호법 제39조에 따라 피해자들이 입은 모든 형태의 손해에 대해 법적ㆍ도덕적 책임을 지고, 전면적인 배상 방안을 마련해야 한다. 피해자들이 실질적으로 피해회복을 할 수 있도록, 책임 있는 조치를 즉시 이행할 것을 촉구한다.
셋째, 재발방지를 위한 구조적 개선을 요구한다.
이번 사태는 단순한 실수가 아니라, 암호화 미이행, 접속기록 미보관 등 기초적인 보안 의무조차 지키지 않은 전형적인 ‘인재’다. SKT는 개인정보처리시스템 전반에 대해 철저한 점검과 보완을 시행하고, 법령상 안전조치 이행 여부에 대해 외부기관의 정기적인 감사를 수용해야 한다. 나아가 그 모든 조치의 진행 상황과 결과를 국민에게 투명하게 공개하고, 통신사업자로서의 책임 있는 자세로 신뢰 회복에 나서야 할 것이다.
마지막으로 고민성 변호사는 “개인정보보호위원회와 분쟁조정위원회가 이번 사태의 전모를 끝까지 규명하고, 드러나지 않은 유출 항목과 법 위반 사항에 대해 철저히 조사해 주실 것을 요청한다”면서 “이를 통해 위법 행위에 상응하는 엄정한 조치와 재발 방지를 위한 제도 개선이 함께 이뤄지기를 강력히 촉구한다”고 강조했다.
한편, 이날 기자회견에는 서채완 민변 사무차장이 사회를 맡은 가운데, 김하나 민변 디지털정보위원회 위원장, 고민성 민변 디지털정보위원회 위원, 김은진 민변 디지털정보위원회 위원, 김병욱 변호사, 오병일 진보네트워크센터 대표, 이지은 참여연대 공익법센터 선임간사 등이 참석했다.
기자회견 참가자들은 다음과 같은 구호를 외쳤다.
“개인정보 유출 SKT를 철저히 조사하라!”
“대규모 개인정보 유출 SKT는 제대로 배상하라!”
“전국민 개인정보 유출 재발방지 대책 마련하라!”
[로리더 최창영 기자 ccy@lawleader.co.kr]