당국이 유심 해킹 사태와 관련해 SK텔레콤(SKT)에 대해 대규모 과징금을 예고한 가운데 시민단체와 법조계를 중심으로 손해배상 집단소송이 가시화되고 있다. 이런 가운데 시민단체들을 중심으로 징벌적 손해배상제도가 확립돼 있지 않은 국내 현실에서 2300만명의 가입자가 겪고 있는 피해에 대한 보상이 이른바 ‘찔끔 배상’에 그칠 것이란 우려가 나오면서 제도 개선 목소리에 힘이 실린다.

특히 국회는 오는 8일 SKT 단독 청문회를 열기로 하고 최태원 SK그룹 회장을 증인으로 채택했다.

2일 업계에 따르면 시민단체와 법조계를 중심으로 가시화되고 있는 소비자들의 손해배상 소송도 SKT에게 큰 부담으로 작용할 것으로 보인다. 실제로 법무법인들이 앞다퉈 공동소송 형태의 ‘집단소송’을 준비하고 있다.

법무법인 대륜 소속 손계준·신종수·지민희 변호사는 1일 오후 2시 서울 남대문경찰서를 찾아 유영상 SKT 대표이사 및 보안 책임자 등에 대해 업무상 배임과 위계공무집행방해 혐의로 고소·고발장을 접수했다.

이들은 “SKT는 이동통신업계 1위 업체임에도 불구하고 정보보호투자비 예산의 절반만 지출했고, 심지어 감액하기까지 했다”며 “수십 년간 업계 선도주자를 자처해온 기업으로서 정보 관리의 중요성을 인식하고도 정보보호 투자비를 감액하는 등 이를 소홀히 했다고 볼 수 있다”고 지적했다.

해킹 늑장신고와 관련해서는 “한국인터넷진흥원(KISA)은 정보통신망법에 따라 해킹 사고 시 즉시 필요한 조치를 할 공적 의무가 있으며, SKT의 위계적 허위 신고는 이에 대한 명백한 방해행위”라고 설명했다.

대륜측은 SKT에 대한 집단소송에도 착수한다. 이날 오후 2시 기준 집단소송 참여 희망자는 900여명이다.

◆위자료 ‘지급명령’ 신청도 = 앞서 로피드법률사무소의 하희봉 대표변호사는 지난달 30일 서울중앙지방법원에 SKT를 상대로 50만원의 위자료 지급을 청구하는 ‘지급명령 신청서’를 제출했다고 밝혔다.

지급명령 신청은 본격적인 단체소송에 앞서 정부 최종 조사 결과를 기다리기보다 신속하게 법적 절차를 개시하고 향후 전략을 수립하기 위한 선도적 조치라는 설명이다.

하 변호사는 “이번 지급명령 신청은 시작일 뿐이며, 참여 의향을 밝힌 1500명이 넘는 피해자들을 위한 본 집단소송은 이와 별개로 진행할 것”이라고 말했다.

대건, 더 에이치 황해, 로집사 등 여러 법무법인들도 개인 정보 유출 피해에 따른 집단소송 수임을 진행 중이다. 유튜버이기도 한 노바법률사무소 이돈호 대표변호사도 “나도 SKT 가입자”라며 집단소송에 나서겠다고 밝혔다.

같은 날 시민단체 서민민생대책위원회는 이날 오전 SKT 가입자 7명과 함께 서울중앙지법에 SKT를 상대로 1인당 300만원의 손해배상을 청구하는 소송을 냈다. 서민위는 “SKT가 이동통신서비스 가입자들의 개인정보를 제대로 관리하지 못해 가입자들의 개인정보가 유출됐으므로 개인정보보호법에 따라 손해를 배상할 책임이 있다”고 주장했다.

서민위는 ‘정보주체는 개인정보처리자의 고의 또는 과실로 개인정보가 유출된 경우 300만원 이하 범위에서 상당한 금액을 손해액으로 해 배상을 청구할 수 있다’는 개인정보보호법 규정을 배상청구 근거로 제시했다.

소상공인연합회도 이번 해킹사태로 소상공인들의 피해가 확산될 경우 ‘SKT 해킹사태 소상공인 피해 신고센터’ 설치 등 집단 대응을 예고했다.

◆“징벌적 손해배상 제도 도입 필요” = 문제는 실효성이다. 손해배상 소송의 결과가 ‘찔끔 배상’에 그칠 수 있다는 우려가 나오기 때문이다.

미국 3대 이동통신사 중 하나인 T모바일은 2021년 전·현 고객과 잠재적 고객 7660만명 이상의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등 신용조회 데이터가 유출됐다.

회사는 공격 사실을 알림과 동시에 모든 고객에게 이메일과 문자 알림을 발송하고, 피해 여부와 관계없이 2년간 맥아피의 보안 서비스를 무료로 제공하기로 했다. 하지만 소비자들은 법원에 T모바일을 상대로 소송을 제기했고, T모바일은 소비자에게 3억5000만달러(약 4590억원)를 배상하기로 합의했다. 이에 따라 T모바일 고객들은 피해 규모에 따라 1인당 최대 2만5000달러(약 3200만원)의 보상을 받게 됐다.

하지만 미국과 같은 징벌적 손해배상제도가 갖춰지지 않은 국내에선 전례를 찾을 수 없는 규모다.

이번 사건을 계기로 한국에서도 기업의 정보보안 의무를 법적으로 강제하고, 피해자 보상을 보장하는 제도 마련이 필요하다는 목소리에 힘이 실리는 대목이다. 미국처럼 징벌적 손해배상제도가 도입됐다면 잇달아 개인정보가 유출되고 있는 통신회사 등 대기업들이 사전에 보안 시스템에 더 투자했을 것이라는 지적이다.

경제정의실천시민연합은 성명에서 “이번 사건은 단순 해킹이 아니라, 기업의 이익 중심 혁신과 정부의 규제 완화가 빚은 사회적 리스크”라며 “징벌적 손해배상제 도입 등 실질적인 소비자 보호와 기업 책임 강화를 위한 제도 개선이 필요하다”고 주장했다.

◆메인 서버 해킹돼 중대성 커 = 이런 가운데 SKT에 대한 당국의 역대급 과징금 부과는 불가피할 것으로 보인다. 개인정보보호법이 개정돼 부과 기준이 높아진 데다 메인 서버가 해킹돼 사안의 중대성도 크기 때문이다.

앞서 최장혁 개인정보보호위원회 부위원장도 “기본적으로 2023년 LG 유플러스(개인정보 유출) 때와는 차원이 매우 다를 것”이라며 더 높은 액수의 과징금 부과 가능성을 시사했다.

개인정보위는 2023년 7월 약 30만 건의 고객 정보가 유출된 LG유플러스에 과징금 68억원을 부과했다. 그런데 그 사이 개인정보보호법 개정으로 과징금 기준이 ‘관련 매출의 3%’에서 ‘전체 매출의 3%’로 바뀌면서 처벌 수준이 높아졌다. 다만 위반행위와 관련 없는 매출액은 제외하도록 규정하고 있지만 기업이 이를 증명해야 하기 때문에 결과적으로 부담이 커질 전망이다.

특히 LG유플러스는 부가서비스와 관련한 서버가 해킹됐지만 SKT는 가입자 전화번호, 가입자식별키(IMSI) 등이 담긴 메인 서버가 해킹돼 중대성 면에서도 차이가 있다.

단순 산술적으로는 SKT 지난해 매출이 17조9406억원이었던 점을 고려하면 과징금 규모가 최대 5300억원에 달한다.

◆위약금 면제 압박 더욱 거세질 듯 = 한편 국회 과학기술정보방송통신위원회는 오는 8일 SKT 유심 해킹 사건을 다루는 청문회를 열기로 하고 최태원 SK그룹 회장을 증인으로 채택했다. 이에 따라 위약금 면제에 대한 압박도 더욱 거세질 것으로 보인다. SKT는 2일 유영상 대표의 일일브리핑에서 위역금 면제에 대해서는 입장을 밝히지 않았다.

국회 과방위가 지난달 30일 ‘YTN 등 방송·통신 분야 청문회’에서 유심 해킹 사태를 다루며 최 회장을 증인으로 추가 채택하는 안건을 의결했다. 이날 SKT측이 위약금 면제에 대해 부정적인 입장을 밝힌데 따른 것으로 풀이된다. 최민희 과방위원장은 청문회에서 “이 사태의 귀책사유가 SKT에 있는데 위약금을 면제하지 못하겠다는 발상이 도대체 어디서 나오는가”라며 “최 회장에게 직접 집중 질의할 것”이라고 지적했다.

장세풍·이재걸 기자 spjang@naeil.com