[KtN 박준식기자]2025년 8월 28일, 개인정보보호위원회는 SK텔레콤에 역대 최대 수준의 과징금 1,348억 원을 부과했다. 2,300만 명, 국민 절반에 달하는 유심 개인정보가 무려 4년 동안 유출된 사태에 대한 제재였다. 언론은 ‘역대 최대 과징금’이라는 수식어를 반복했지만, 정작 국민이 체감한 감정은 안도감이 아니라 허탈감이었다. “이 정도로 끝인가?”라는 물음이었다. 통신 대기업의 영업이익 규모를 감안할 때, 이번 과징금은 오히려 값싼 리스크 관리 비용에 불과하다는 지적이 잇따른다. 국민 절반의 불안을 위로하기에는 턱없이 부족한 처벌. 사건은 여기서 끝나서는 안 된다는 목소리가 높아지고 있다.

숫자가 말하는 솜방망이 제재

이번 과징금은 1,348억 원으로, 한국 개인정보보호 역사상 단일 사건 기준 최대치다. 그러나 SK텔레콤이 2024년 한 해 벌어들인 영업이익은 1조 8,234억 원에 달한다. 단순 계산만 해도 과징금은 이익의 약 7% 수준에 불과하다. 게다가 현행 개인정보보호법상 과징금 상한은 매출의 3%다. 실제 이번 처분은 SK텔레콤 매출의 1% 수준에도 미치지 못한다.

국제 비교는 더 초라하다. EU GDPR이나 영국 ICO는 전 세계 매출의 최대 4%, 중국과 캐나다는 전체 매출의 최대 5%까지 과징금을 부과할 수 있다. 반면 한국은 3%에 그친다. 그마저도 현실 적용은 ‘솜방망이’다. 결국 이번 제재는 “역대 최대”라는 형식적 타이틀에 비해 실질적 억제 효과는 미약하다는 점이 분명해진다.

4년 동안 열린 문, 기업의 책임 회피

더 큰 문제는 과징금 액수보다 SK텔레콤의 보안 관리 부실이다. 해커는 이미 2021년 8월 내부망에 침투해 관리자 계정 정보를 평문으로 탈취했다. 이 계정만 무려 4,899개에 달했다. 이후 2022년 6월에는 통합고객인증시스템(ICAS)에 악성코드를 설치해 장기간 거점을 유지했다. 결국 2025년 4월, 홈가입자서버(HSS) 데이터베이스에서 9.82GB에 달하는 개인정보가 유출됐다. 피해자는 무려 2,324만 명.

그런데도 SK텔레콤은 2022년 2월 해커가 서버에 접속한 사실을 확인하고도 적극적인 조치를 취하지 않았다. 서버 2,365대에 대한 관리자 계정이 암호화조차 되지 않은 평문으로 저장되어 있었고, 주요 개인정보 처리 시스템에 백신조차 설치되지 않았다. 침입탐지 시스템은 이상 징후를 기록했지만 제대로 확인되지 않았다. 책임 구조 역시 허술했다. 개인정보보호책임자의 권한이 웹·앱 서비스에 한정돼 핵심 인프라 관리까지 닿지 않았던 것이다.

이런 상황에서 ‘역대 최대 과징금’이라는 표현은 아이러니하다. 4년간 국민 절반의 정보를 지키지 못한 대기업에 내려진 제재치고는, 너무 가볍다.

반복되는 사고, 자라지 못하는 산업

개인정보 유출은 이번이 처음이 아니다. 카드 3사 정보유출(2014), 인터넷포털 해킹 사건(2017), 병원 및 온라인 쇼핑몰 유출 사례 등 굵직한 사건은 해마다 반복됐다. 그러나 제재는 늘 미약했고, 기업은 사과 후 소송으로 과징금을 낮추는 데 집중했다. 소비자는 피해 구제를 받지 못했고, 산업은 발전하지 못했다.

실제로 한국의 정보보호 산업은 글로벌 성장률에 미치지 못한다. 보안 투자가 비용으로만 인식되는 구조 속에서 기업들은 ‘사고가 나더라도 벌금 내면 된다’는 계산법을 택한다. 그 결과 사고는 반복되고, 소비자의 신뢰는 붕괴하며, 국가의 데이터 경쟁력 자체가 흔들린다. 이번 SK텔레콤 사태는 단순한 한 기업의 문제를 넘어 한국형 ‘보안 악순환’을 보여주는 상징적 사건이다.

제도 개혁은 왜 멈췄는가

사실 해결책은 이미 논의돼왔다. 집단소송제, 징벌적 손해배상제, 증거개시제도. 문재인 정부에서도, 현 이재명 정부에서도 추진 과제로 포함됐다. 그러나 이해관계 충돌과 기업의 반발 속에서 번번이 좌초됐다. 그 사이 국민은 개인정보 유출의 상시적 위험 속에 살게 됐다.

집단소송제가 도입되면 피해자 수백만 명이 함께 기업을 상대로 실질적 배상을 청구할 수 있다. 징벌적 손해배상이 도입되면 기업은 ‘벌금보다 투자’가 이익이라는 구조를 체감한다. 증거개시제도는 기업이 사고 정보를 숨기거나 축소 보고하는 관행을 깨뜨린다. 이 세 가지 제도가 함께 움직여야만 한국 사회의 ‘보안 악순환’을 끊을 수 있다.

 “이제는 진짜 끝내야 한다”

국민 절반의 개인정보가 유출됐다. 유심 인증키, 가입자식별번호(IMSI), 휴대전화 번호 등 통신 서비스의 근간이 흔들렸다. 그럼에도 처벌은 기업에게 여전히 ‘가벼운 벌금’에 불과하다. 이번 사건은 단순한 보안 사고가 아니라, 한국 사회가 직면한 제도적 허점을 드러낸 국가적 위기다.

이제는 더 미룰 수 없다. 과징금 상한을 글로벌 수준으로 높이고, 집단소송제와 징벌적 손해배상제, 증거개시제도를 도입해야 한다. 기업이 진정한 책임을 지고, 소비자가 피해를 보상받으며, 보안산업이 성장할 수 있는 선순환을 만들어야 한다. 국민의 정보가 기업의 계산기 속 숫자로 전락하지 않도록, 이번 사건을 ‘마지막 전환점’으로 삼아야 한다.