[KtN 최기형기자] SK텔레콤 가입자 2,300만 명의 유심(USIM) 정보가 유출되었다. 한국 전체 인구 절반에 육박하는 규모다. SK텔레콤은 해당 정보에 주민등록번호나 결제 정보는 포함되지 않았다고 해명했으나, 유심 자체가 금융·통신·보안 인증 전반의 기초 데이터로 기능한다는 점에서 단순 해명은 무력하다. 국내 1위 기간통신사업자로서 SK텔레콤이 유출의 통제권조차 확보하지 못했다는 사실은 디지털 국가 신뢰 시스템의 허약성을 그대로 드러냈다.

유심 정보, 단순한 인증이 아닌 디지털 신원의 뼈대

유심은 더 이상 단순한 통신 인증 장치가 아니다. 금융 계좌 개설, 공공기관 로그인, 이중 인증 등 스마트 사회의 모든 일상이 유심을 기반으로 돌아간다. 따라서 유심 정보가 유출된다는 것은 곧 ‘신원 자체의 복제’를 의미한다. 대포폰 개통, 계정 탈취, 스미싱을 통한 금융사기까지 이르는 범죄 체계가 유심 정보 하나로 구축된다. 이번 유출은, 범죄가 데이터를 획득하는 과정이 아니라, 기업의 구조적 허점을 통해 자동적으로 획득되고 있다는 점에서 본질적으로 위협적이다.

SK텔레콤은 북한 해커의 개입 가능성을 시사하며 외부 요인으로의 책임 전가를 시도했다. 그러나 반복적인 해명 프레임은 책임 회피에 불과하다. 보안 시스템의 취약성은 고스란히 기업의 관리 책임이며, 피해자가 누구이고, 유출된 정보가 어떻게 쓰일 수 있는지에 대한 투명한 조사와 설명이 우선되어야 한다. 유심 정보가 대규모로 탈취되는 상황에서 ‘결제 정보는 빠졌다’는 말은, 금융 피해가 이미 발생하고 난 뒤에나 무의미해질 자가당착적 서술이다.

'자율 보상'에 기대는 한국, 규제 시스템은 마비 상태

해외 주요국은 대형 개인정보 유출 사태에 대해 ‘피해자 중심의 보상’과 ‘징벌적 규제’라는 이중 구조를 도입해왔다. 2018년 메타는 유럽연합 내 약 3,000만 건의 개인정보 유출로 3,800억 원에 달하는 과징금을 부과받았고, 미국의 통신사 T모바일은 7,760만 명의 개인정보를 유출한 뒤 약 7,000억 원의 집단소송 합의금을 지급했다. 이들 국가는 ‘기업이 보유한 개인정보는 공공성을 갖는다’는 원칙 아래, 데이터 유출에 따른 피해를 사회적 리스크로 간주하고 집단소송·규제과징금 제도를 제도화했다.

반면 한국은 피해자 입증 책임이 강제된 구조에서, 실질적 구제는 거의 불가능한 상태다. 유출 정보가 어디에 쓰였는지, 어떤 경로로 피해가 발생했는지를 입증해야만 보상을 받을 수 있는 구조는 기술적 구조를 이해하기 어려운 일반 이용자에게 거의 사문화된 절차다. 게다가 통신사·카드사 등 대형 데이터 보유 기업은 반복적으로 유출 사고를 일으켜도 과징금 수백억 원 수준에서 사실상 ‘정기적 비용’처럼 처리되고 있다.

이러한 현실은 기업에 실질적 책임을 부과하지 않고, 정보 주체의 권리를 보호하지 않는다는 점에서 사법적 공백 상태로 평가할 수 있다. 특히 피해자가 대규모로 존재함에도 불구하고, 개별 소송 이외의 권리구제 수단이 없다는 점은 사회적 정의의 실종을 의미한다. 디지털 시대, ‘정보권’은 곧 시민권이다.

집단소송법은 소비자 보호가 아닌 헌법적 책무의 문제

더불어민주당은 문재인 정부 시절 집단소송법 제정안을 발의한 바 있다. 당시 입법은 산업계의 반발과 정치적 동력 부족으로 무산됐지만, 2025년 SK텔레콤 유심 유출 사태는 해당 법안의 필요성을 정면으로 제기한다. 집단소송은 단순한 보상 수단이 아니라, 권리 침해가 집단적으로 발생했을 때 그에 상응하는 책임을 시스템적으로 요구하는 방식이다.

특히 데이터 보유 기업의 관리책임은 공공의 영역과 맞닿아 있는 만큼, ‘피해자의 손해 입증’을 전제로 하는 현행 구조는 근본적으로 수정되어야 한다. 영국과 미국이 운영하는 집단소송제도는 일정 규모 이상의 피해가 발생했을 경우, 기업이 책임 유무를 입증하도록 구조를 역전시켰고, 그 부담을 분산·공유하는 시스템을 제도화했다.

‘개인정보 보호’를 사적 계약의 문제가 아닌 헌법적 책무의 문제로 다뤄야 한다. 법률상 ‘정보인권’은 더 이상 선택적 보호의 대상이 아니다. 국회와 정부는 조속한 시일 내에 ‘소비자 집단소송법’ 제정에 착수해야 하며, 입법이 지연될 경우 시민사회와 피해자 단체의 연대가 보다 강력한 사회적 요구로 표출될 가능성도 배제할 수 없다.

'책임의 시스템화' 없이는 유출은 반복된다

정보 유출은 기술적 결함 이전에 제도적 신뢰의 결핍에서 비롯된다. 국가의 공공 인프라가 민간 기업의 데이터 자산에 의존하는 구조에서, 이 신뢰를 어떻게 공적으로 설계하고 법적으로 보호할 것인지는 민주주의의 작동 원리를 근본부터 재구성하는 문제다. SK텔레콤의 유심 정보 유출은 단일 기업의 관리 실패를 넘어선, 통제되지 않은 민간 데이터 권력이 제도 밖에서 작동해온 결과이며, 사실상 규범의 부재가 낳은 구조적 범죄다.

지금 시점에서 필요한 것은 사후적 사과가 아니라 사전적 체계다. 피해 발생 이후의 구제가 아닌, 피해 발생 자체를 원천적으로 차단하는 법적·제도적 장치가 요구된다. 반복되는 유출 사고를 ‘불가피한 사고’로 수용하는 사회 구조는 더 이상 정상적이라고 보기 어렵다. 집단소송제의 도입은 이러한 시스템 전환의 출발점이며, 선택이 아닌 입법적 책무다.