SK텔레콤(SKT) 유심(USIM·가입자 식별 모듈) 서버 해킹 사태를 계기로 공공기관은 물론 민간기업 등 국가 전반의 개인정보 안전관리 체계를 강화해야 한다는 목소리가 확산되고 있다. 개인정보가 유출되면 이를 복구하기 위한 사회적 비용이 워낙 큰데다 산업·안보분야 등으로 위기가 전이될 우려가 크기 때문이다. 이런 가운데 가입자들이 SKT를 상대로 제기한 조정신청과 소송이 본격화되고 있다.

고학수 개인정보보호위원회 위원장은 27일 서울 강남구 코엑스에서 열린 ‘2025 개인정보보호 페어&개인정보보호책임자(CPO) 워크숍’ 기조연설에서 “최근 SKT 사고로 개인정보 보호와 관련된 국민 불안이 상당하다”며 “이번 사건을 국가 전반의 개인정보 안전관리 체계 강화의 계기로 삼는 지혜가 필요하다”고 말했다.

이어 “개인정보보호책임자들의 침해 위험에 대한 역량 강화와 함께 공공기관 및 민간기업이 개인정보 처리과정을 재점검하고 개선대책을 마련해야 한다”고 덧붙였다.

고 위원장은 “개인정보 보호를 위한 상시적·지속적 위험관리와 내부통제 체계를 구체화해야 한다”며 “개인정보 보호를 위한 인적, 물적 투자를 비용이 아닌 핵심 투자로 인식하는 전환이 필요하다”고 말했다.

◆‘자율성’ 명목에 개인정보 보안 ‘흔들’ = 그동안에도 전문가들을 중심으로 개인정보보호에 대한 투자 확대 필요성이 꾸준히 제기됐다. 실제로 SKT를 비롯해 KT·LG유플러스 등 통신 3사의 반복되는 해킹 사고 주요원인으로 예산·인력 부족이 꼽힌다.

국회입법조사처는 최근 발간한 ‘이동통신사 해킹 사전 예방을 위한 정보보호 강화 방안’ 보고서에서 “이통통신사 해킹이 일시적인 사고가 아닌 구조적 문제임을 시사한다”면서 “유사 사고의 재발 방지를 위해 정보보호 투자의 ‘최소 투자 비율’을 명시해야 한다”고 제안했다.

입법조사처는 그러면서 기업들의 소극적인 정보보호 투자 사례로 SKT을 제시했다. SKT는 지난해 정보보호 분야에 본사 600억원, 자회사 SK브로드밴드 267억원 등 총 867억원을 투자했다. KT(1218억원)와 LG유플러스(632억원)도 SKT에 비해 많지만 글로벌 기업들에 미치지 못한다.

이동통신업계의 전체 기술 투자 대비 정보보호 투자금액 비중은 지난해 기준 SKT 4.1%, KT 6.4%, LGU+ 6.6%였다. 최소 두자리 숫자 이상인 선진기업들과 격차가 크다.

이동통신 업계뿐 아니라 국내 기업들 대부분의 상황도 비슷하다. 과학기술정보통신부가 646개 기업의 정보보호 공시 현황을 분석한 결과 전체 기술 투자 대비 정보보호 투자금액 비중 평균은 6.1%다

이는 미국(26%), 독일(24%), 영국(23%) 등 주요 국가들에 비해 턱없이 부족하다.

국회와 전문가들은 그 이유로 ‘자율성’을 지목한다. 예를 들어 금융위원회 고시 ‘전자금융감독규정’은 종전에 금융회사 또는 전자금융업자가 정보보호예산을 정보기술부문 예산의 7 % 이상이 되도록 노력할 의무를 규정했으나, 지난 2월 정보보호 예산 최소 투자 비율을 삭제하는 방향으로 개정됐다.

정보통신망법 개정 등을 통해 보안 관련 고위험 산업군에 대해 강화된 인증 기준을 적용할 필요성이 제기되는 대목이다.

사정이 이쯤되자 개인정보보호위원회가 2030년까지 기업·기관의 개인정보보호 예산 비중을 2027년까지 최소 10%, 2030년까지는 이를 15%로 확대하도록 정보보호 투자 의무화를 추진할 계획이다. 탄핵에 따른 조기 대선으로 6월 출범하는 새로운 정부가 어떤 입장을 취할지 관심이 모아지는 대목이다.

◆집단분쟁조정, 6월 중순 절차 개시 = 이런 가운데 개인정보보호위원회 산하 개인정보분쟁조정위원회는 이르면 6월 중순 SKT 개인정보 유출사고에 대한 개인정보 집단분쟁조정 절차를 개시할 예정이다. 조정 대상은 지난 13일 SKT 피해 이용자 100명을 대리하는 법무법인 이공이 제출한 건이다.

분쟁조정위는 “정상적으로 절차를 진행 중이고, 법령에서 정한 60일의 조정기한 안에 마무리될 수 있도록 하겠다”며 “신청서류 등을 검토해 지난 26일 신청인에게 보정을 요구한 상황”이라고 밝혔다.

분쟁조정위는 신청인측이 보정을 마치면 전체회의에서 집단분쟁조정 개시를 의결, 14일간 집단분쟁조정 신청사실을 공고해 추가 참여신청을 받을 계획이다.

다만 실제 조정절차는 분쟁조정위의 상위기관인 개인정보보호위원회가 SKT에 대한 개인정보보호법 위반 여부 관련 조사·처분을 마칠 때까지 일시정지될 수 있다.

개인정보 분쟁조정은 개인정보 유출 등 피해를 입은 정보주체가 손해배상·침해중지·원상회복·재발방지 등을 분쟁조정위에 요구해 법원 소송보다 신속하게 조정안을 받을 수 있는 절차다.

사건 당사자들이 조정안을 수락할 경우 확정판결과 효력이 같은 ‘재판상 화해’가 성립한다. 당사자 일방이 수락하지 않을 경우 사건은 ‘조정 불성립’으로 종결되지만, 신청인들은 법원에 민사소송을 제기할 수 있다.

이와 별도로 SKT 이용자들의 유심 서버 해킹 사태와 관련 손해배상 소송도 본격화됐다.

이들을 대리하는 법무법인 대륜에 따르면 27일 SKT 가입자 235명이 1인당 100만원의 위자료 지급을 구하는 민사소송을 제기했다. 대륜은 이번 소송을 시작으로 신청자들을 파악해 지속적인 소장을 접수한다는 계획이다.

대륜은 해킹 피해 고소·고발인 의뢰를 받아 지난 1일 업무상 배임 및 위계공무집행방해 혐의로 고발장을 제출했다. 이어 서울 남대문경찰서에 지난 21일 고발인 신분으로 첫 경찰 조사를 받았다.

한편 SKT 유심 서버 해킹 사태 이후 군 당국이 사이버방호태세(CPCON)를 한 단계 격상하는 한편 군 지휘부의 비화폰(안보폰) 5700여대에 대해선 6월까지 유심 카드 전량 교체를 추진 중인 것으로 나타났다. 군의 사이버 테러 대비 태세인 CPCON 격상은 지난 2022년 3월 이후 약 3년 만이다.

장세풍 기자 spjang@naeil.com