[KtN 박준식기자] 7월 4일, 정부 민관합동조사단은 SK텔레콤 유심 정보 유출 사태에 대한 조사 결과를 발표하며, 이번 사고가 기업 과실에 기반한 중대한 통신보안 침해 행위였다고 명확히 규정했다. 조사는 2021년부터 침투된 악성코드 33종이 2024년까지 SK텔레콤 핵심 통신 장비에 잠복했으며, 이로 인해 약 2,696만 건에 달하는 민감한 유심 기반 정보가 외부로 유출됐다는 점을 공식화했다. 유출된 정보에는 IMSI(가입자 식별번호), ICCID(유심 일련번호) 등 25개 항목이 포함되며, 이는 단순한 고객정보 노출을 넘어 국가 통신 인증 체계 전체를 위협하는 구조적 사건으로 평가된다.

구조적 공백이 부른 사태, ‘면피형’ 보상안으로 수습될 수 없다

SK텔레콤은 유출 사고 직후 △8월 요금 50% 감면 △5개월간 매월 50GB 데이터 추가 제공 △2025년 7월 14일까지 위약금 면제 신청 가능 등의 보상안을 발표했다. 그러나 구체 내용을 살펴보면, ‘고객 감사’라는 명분과 달리 실질적인 피해 구제 효과는 제한적이다. 우선 위약금 면제는 4월 19일 이후 해지한 혹은 해지 예정 이용자 중 약정 가입자에 한정된다. 단말기 할부금은 면제 대상이 아니며, SK브로드밴드 등 결합상품에 대한 위약금은 전혀 포함되지 않았다. 신청 기한은 단 10일로 제한되어 있어 대다수 이용자가 이를 인지하고 신청을 완료하기조차 어려운 조건이다.

SK텔레콤은 “업계 전례 없는 위약금 면제”라는 점을 강조하지만, 정부가 민관합동조사를 통해 명확한 과실 책임을 판단하고 계약상 보호 의무 위반을 공식화한 상황에서, 위약금 면제는 자발적 선의가 아니라 최소한의 법적 이행으로 보아야 한다.

더욱이 보상안의 핵심으로 제시된 ‘50GB 데이터 추가 제공’은 실질적인 피해 구제책으로 보기 어렵다. 에릭슨 모빌리티 리포트(Ericsson Mobility Report)에 따르면, 전 세계 모바일 이용자의 월 평균 데이터 사용량은 약 37GB 수준이며, 국내 5G 이용자의 상당수도 20~30GB 수준에서 소비가 집중되는 것으로 알려져 있다. 이 같은 사용 행태를 감안하면, 50GB 추가 제공은 대부분의 가입자에게 체감되지 않는 혜택이 될 가능성이 높다.

반복되는 사후 대응, 근본적인 위기관리 부재 드러나

SK텔레콤은 유사한 위기 대응 실패를 반복해왔다. 사고 초기, 유심 보호 서비스를 ‘희망자에 한해 제공’하겠다는 입장을 고수하다가 비판 여론에 밀려 자동가입 방식으로 수정했으며, 유심 교체를 위해 대리점을 찾은 이용자들에게는 ‘유심 재고 없음’을 이유로 귀가 조치한 반면, 같은 시기에 신규 가입자를 유치하는 영업은 지속됐다. 이는 단순한 오판이 아니라 위기 대응 체계 전반의 구조적 부실을 드러낸 행태다.

사고 직후 SK텔레콤 주가는 3일 만에 11.4% 하락하며, 창사 이래 가장 큰 단기 낙폭을 기록했다. 이는 재무 지표가 아니라 신뢰자산의 붕괴를 반영한 결과다. 신뢰는 통신사업자의 핵심 자산이며, 이는 투자·규제·공공영역 확장과 직결된다. SK텔레콤은 현재 그 신뢰 기반을 상실하고 있으며, 이를 회복하려면 단기 보상책이 아닌 구조 개편이 필수적이다.

공공 인프라로서 통신, 민간 주도의 보안 체계는 한계에 직면

이번 유심 유출 사고는 한국 통신산업이 민간 중심의 보안 시스템에 의존하고 있다는 구조적 한계를 노출시켰다. 유심 기반 인증은 금융·의료·공공서비스 전반에 걸쳐 본인 확인 수단으로 사용되며, 사실상 디지털 주민등록증의 역할을 한다. 그런데도 유심 칩의 정보 관리가 리셀러 유통망과 외주 영업점에서 방치되어 있었고, 보안 점검 및 대응 체계는 통신사 내부에만 의존해왔다. 이는 통신망이 사기업 소유라는 이유만으로 국민의 신뢰 인프라까지 위탁한 것과 다르지 않다.

미국 T모바일은 2021년 유사한 대규모 개인정보 유출 사건 이후, 3억5천만 달러의 집단 배상안과 함께 사이버 보험, 모니터링 서비스, 전면적인 시스템 교체를 실시했다. SK텔레콤은 아직 현금 보상안이나 개인정보 유출 피해 구제 체계를 구체화하지 못했다. 현재와 같은 보상 구조만으로는 국제적 수준의 사후대응 역량을 확보했다고 보기 어렵다.

제도적 재설계 없이는 통신 산업의 공공성 회복 불가능

SK텔레콤은 유사 사고 재발 방지를 위해 향후 5년간 7,000억 원 규모의 정보보호 투자를 약속했다. 전문인력을 두 배 확충하고 CEO 직속 보안조직(CISO)을 신설한다는 계획이다. 그러나 이번 사고가 단순한 기술적 실패가 아니라 구조적 거버넌스의 결함임을 감안할 때, 통신보안 책임의 일원화를 넘어 국가 주도의 인증체계, 보안감독, 소비자 피해구제 시스템 도입이 병행되어야 한다.

정부는 ‘통신보안 평가등급제’ 및 ‘피해자 자동보상제’ 도입을 포함해 민간 통신망의 공공적 관리 체계를 제도화해야 한다. 위약금 구조 또한 통신·IPTV·콘텐츠·단말기 결합상품 간의 책임 주체를 명확히 분리해, 피해자가 보상 대상에서 배제되는 일이 없도록 개편할 필요가 있다.

SK텔레콤이 회복해야 할 것은 ‘이미지’가 아니라 ‘신뢰 시스템’이다

이번 사태는 단순한 위기가 아니라 한국 통신산업 전체가 구조적 전환을 요구받는 신호다. SK텔레콤은 ‘고객 감사’라는 수사보다 실질적 책임 이행을 중심으로 대응을 재설계해야 한다. 통신서비스는 공공 인프라이며, 국민의 신뢰는 단순한 마케팅이 아닌 구조적 투명성과 제도적 보장을 통해서만 회복된다. 지금 필요한 것은 50GB 데이터가 아니라, 2,696만 명의 국민이 안심할 수 있는 보안과 구제 시스템이다. SK텔레콤은 지금, 통신산업 공공성 재구성의 첫 책임을 지고 있다.