2025년 4월, SK텔레콤(SKT)의 핵심 서버에 침투한 해커가 수천만 명에 달하는 고객의 유심 관련 인증 정보를 대량 탈취한 사건이 발생했다. 유출된 정보에는 가입자 계정 식별번호(IMSI), 전화번호, 인증키 등 본인 확인과 금융·통신 서비스의 핵심이 되는 정보가 포함돼 있었다. 그 후 SKT는 서버가 해킹당한 시점이나, 보안 체계가 이를 방어하지 못한 원인을 투명하게 밝히지 못하는 등 해킹 이후 대처에 미흡한 모습을 보여주고 있다. 피해자에 대한 공지 및 실질적 구제 조치 또한 미비하다는 지적도 제기되는 상황이다.

전문가들은 이번 SKT 유심 정보 해킹 사건이 단순히 기술적 실패라기보다 보안 체계 전반의 빈틈이 낳은 결과라고 평가한다. 이번 사건에서 해커가 사용한 BPFdoor 악성코드는 기존의 방화벽을 우회해 시스템 내부에 잠복하기에 대다수 기업의 현 보안 체계로는 사실상 포착이 불가능한 방식으로 작동한다. 최재영 보안 이야기 대표는 “BPFdoor 악성코드는 코드 실행을 위한 파일을 만들지 않고 메모리에서 직접 실행되며, 외부 신호가 전달되는 통로인 포트를 열지 않아도 해커와 통신을 주고받을 수 있다”라고 설명했다. 이어 그는 “따라서 이런 악성코드는 기존의 로그 분석*이나 포트 모니터링* 위주의 보안 체계로는 탐지가 어려운 유형”이라고 전했다. 산업 전반의 보안 체계가 여전히 과거에 머물러 있는 상황에서, 새로운 형태의 악성코드에 속수무책일 수 있다는 우려가 제기되는 이유다. 한국기업보안협의회 권준 사무총장은 “이번 사태의 해킹 공격은 통신사 고객의 개인정보 데이터를 획득하는 것을 넘어, 이를 악용해 통신 인프라까지 장악할 수 있는 수준이었다”라고 설명했다.

보안 체계의 빈틈과 더불어 정보 보안 책임이 사실상 민간 기업의 외주에만 지워져 사태를 악화시켰다. 인터넷 환경에서 본인 인증에 핵심이 되는 IMSI나 인증키 등 유심 정보는 국가 수준의 민감 정보지만, 그 관리 체계는 사실상 민간 기업에 이렇다 할 규제 없이 위임돼 있다. 문제는 기업 내부의 보안 체계가 대부분 외주화돼 있다는 것이다. 기업 내 보안 책임을 담당하는 최고 정보 보안 책임자(Chief Information Security Officer, CISO)는 이름뿐이고 사실상 보안 권한과 자원이 기업에 없다는 점이다. 최재영 대표는 “많은 기업이 단기적 비용 부담과 더불어 내부 역량 강화를 위한 투자에 대한 부담 때문에 보안을 외주화했다”라고 설명했다. 이어 그는 “CISO가 명목상 직책일 뿐 실제 사업 부서의 의사결정에 영향을 미치지 못하는 경우 또한 많다”라고 지적했다.

_{*로그 분석: 사용자 로그인, 파일에 접근한 기록, 네트워크 흐름 등을 기록해서 이상 여부를 확인하는 방식.}

_{*포트 모니터링: 어떤 포트가 열려 있는지 혹은 외부와 통신하는지를 감시하는 방식.}

이번 사건을 통해 드러난 또 다른 구조적 한계는 개인정보 유출 피해를 입은 개인이 구제받을 체계가 제대로 작동하지 않는다는 것이다. SKT 유심 정보 해킹 사건의 피해자들은 유출된 자신의 통신 인증 정보가 실제로 악용됐는지를 입증하기 어려워 민사소송을 제기하는 것 자체가 불가능에 가깝다. 법무법인 위온 김정민 변호사는 “우리나라에서는 개인정보 보호 사고에서 소송 당사자가 기업 측에 증거 자료나 관련 정보를 요구할 수 있도록 보장하는 디스커버리 제도가 없어 기업의 책임을 입증하기 어렵다”라고 설명했다. 현재 피해자들이 같은 피해 사안에 대한 소를 제기할 수 있는 집단소송제가 갖춰져 있지 않다는 것도 문제다. 정보통신 분야 시민단체 진보네트워크센터 오병일 대표는 “SKT처럼 수천만 명의 가입자를 가진 기업에서 개인정보가 유출되면 피해자 수는 방대하지만, 인당 피해액은 크지 않아 기업의 과실을 인정받기 힘들다”라고 설명했다. 이어 그는 “현행 제도에서는 피해자 각자가 개별적으로 소송을 제기해야 하기 때문에, 소송 접근성이 현실적으로 매우 낮다”라고 꼬집었다.

개인정보 유출 피해자에 금전적 보상을 의무화하는 제도적 장치가 마련돼 있지 않다는 지적도 있다. 개인정보 보호법 제64조 2항은 기업의 개인정보 유출 시 과징금을 부과하도록 규정하고 있지만, 국가에 내는 과징금이 아닌 피해자에 대한 실질적 보상은 규정하고 있지 않다. 김정민 변호사는 “정보 유출의 피해자는 개인임에도 과징금은 국가가 가져가고, 정작 개인정보가 유출된 개인은 아무런 보상을 받지 못하는 구조에 대해 의문을 제기하는 이들이 많다”라고 전했다.

전문가들은 효과적인 개인정보 보호와 유출 피해 구제를 위해서는 기업 내 정보 보안 체계 개편과 피해자 중심 법 제도로의 변화가 함께 필요하다고 강조한다. 먼저 기업 차원에서 보안의 독립성과 내재화를 실현하려면, 보안을 기업문화와 경영전략의 핵심으로 재정의하고 이에 맞춰 인사·예산·의사결정 권한 또한 전방위적으로 조정해야 한다. 최재영 대표는 “기업 내 정보 보안을 외주 인력에게 의존할 경우 사고 발생 시 △신속한 판단 △대응 시스템에 대한 이해△책임소재 규명 등에서 모두 뒤처질 수밖에 없다”라며 “유출 사고 대응팀, 계정 권한 관리 등 핵심 보안 기능은 외부가 아닌 사내에서 독립적으로 운영돼야 한다”라고 강조했다.

그는 또한 “CISO가 CEO 직속으로서 실질적인 결정권과 자원을 가질 수 있는 구조로도 재편돼야 한다”라고 덧붙였다. 권준 사무총장은 “보안 사고 이후 CEO와 이사회는 책임을 회피하지 않고, CISO와 보안팀이 사후 대처에 힘쓸 수 있도록 책임을 명확히 인식하고 이들을 전폭 지원해야 한다”라고 덧붙였다.

법적 차원에서는 실효적인 피해자 구제를 위한 조치가 필요하다는 목소리가 크다. 오병일 대표는 “개인정보 유출과 같은 사건에서 손해배상이 제대로 이뤄지려면 공익단체가 대표 소송을 제기할 수 있는 집단소송 혹은 단체소송 제도가 반드시 필요하다”라며 “이는 미국과 유럽에서 이미 시행 중인 소비자 권리 대변인 제도와도 일맥상통한다”라고 전했다. 소비자 권리 대변인 제도는 기업 내에 소비자의 입장을 대변할 전담 책임자를 두고, 피해 발생 시 소비자 권익 보호와 집단적 문제 제기, 소송 대응 등을 가능하게 하는 내부 제도다. 더불어 개인 정보 유출 피해자에 대한 보상 방안도 적극적으로 논의돼야 한다. 김정민 변호사는 “과징금의 일부라도 피해자 구제 재원으로 전환하는 방식을 논의해 볼 수 있다”라고 제언했다. 지안행정사사무소 조혜 행정사는 “정보 유출 피해에 대한 민사 소송은 정신적 손해를 금전으로 산정해야 해 시간이 오래 걸릴 수 있다”라며 “분쟁조정위원회의 도움을 받는 것도 현실적인 대안”이라고 덧붙였다.

통신 3사는 실질적으로 국민 다수가 의존하는 공공재와 같은 역할을 하고 있기 때문에, 기업 자체의 노력과 더불어 정부의 노력도 필요하다. 최재영 대표는 “정부는 기존 사전 규제 체계에서 벗어나 민간 통신망에 대한 실시간 보안 위협 분석 체계를 갖추고, 사고 발생 시 독립적이고 전문적인 사고 조사위원회를 가동해야 한다”라고 강조했다. 권준 사무총장 역시 “정부 차원에서 유심을 비롯한 국가 중요 통신 부품에 대해 보안 감사를 진행하거나, 적어도 기업이 자율적으로 보안 안정성을 인증할 수 있는 지침을 제시해야 한다”라고 주장했다.

20년간 한국인터넷진흥원에서 정보 보호 관련 제도를 연구한 A 전 연구원은 “정보는 기업이 통제하고, 사고는 정부가 처리하며, 피해는 시민이 떠안는 현재의 구조에서는 정보보호는 기술이 아니라 통치 구조의 문제로 귀결된다”라고 꼬집었다. 그는 “이제는 보안과 소비자 보호 원칙이 기업 경영과 정책 설계에 실질적으로 반영될 수 있도록 제도와 거버넌스 구조 자체를 다시 설계해야 할 때”라고 강조했다. 내부 통제를 가능하게 하는 조직 구조, 피해자를 위한 실효적 구제 절차, 책임을 명확히 인식하는 기업 문화가 함께 작동할 때 진정한 정보보호 체계가 완성될 것이다.