위기 관리 이론으로 본 SK텔레콤 해킹 사태

                     

‘SKT 해킹 사태’의 충격이 여전하다. 엎친 데 덮친 격으로 2,000만 명의 회원을 보유한 온라인 서점 ‘Yes24’의 해킹 소식이 들려왔다. ‘Yes24’는 접속 장애가 시작된 9일에는 사실을 부인하다, 이틀 뒤인 11일에야 뒤늦게 해킹 사실을 인정했다. 나흘간 ‘침묵’했던 SK텔레콤의 대처가 겹쳐 보인다. 여전히 진전이 없는 ‘SKT 해킹 사태’, 전문가에게 어떤 취약점이 있었고 개선 방안은 어떠한지 취재했다.

 

‘오락가락’ 대처에 가짜 뉴스 침투

SK텔레콤은 나흘간 침묵했다. ‘2,310만 명’의 피해자들은 언론 보도나 인터넷 글을 보며 불안에 떨어야 했다. 10명 중 9명이 모바일뱅킹을 주로 사용하는 시대에, ‘내 휴대전화가 해킹당했다’는 소식은 공포 그 자체였다. “유심 복제로 모든 개인정보가 털렸다”, “복제 유심으로 바로 금융자산이 털린다”라는 내용 등이 SNS를 떠돌았다. 실제로는 주민등록번호나 금융 정보는 유출되지 않았고, 금융자산의 경우 ‘2차 인증’ 덕분에 참사를 막았다. 그럼에도 불안은 쉽게 가시지 않았다.

 

전문가들이 말하는 가장 큰 문제

김주호 참여연대 민생경제팀장은 가짜 뉴스 확산에 SK텔레콤의 책임이 크다고 봤다. “1차 발표 때는 ‘단말기 고유 식별 번호(IMEI)’가 유출되지 않았기 때문에 복제 폰 우려가 없다고 얘기했지만, 2차 발표 때는 ‘IMEI’도 유출된 것으로 확인이 됐다”라며, “오락가락 발표하는 것이 국민의 혼란을 더욱 부추긴 면이 있다”라고 설명했다.

 

위기관리 전문가 강함수 에스코토스 컨설팅 대표도 “문제에 대응할 수 있는 프로세스가 마련되어 있지 않아 불안을 키웠다”라며‘ 초동 대응’을 지적했다. “위기 상황을 사전에 가정하고 준비하는 게 중요하다”고 말했다. “사이버 공격은 일어날 수 있지만, 최소한 ‘기업이 상황을 인지했고 대응 중이다’는 메시지가 빠르게 전달될 필요가 있다”며, “최고 책임자의 책임 있는 첫 메시지가 제때 나오고, 확인된 정도라도 피해 사실을 공유했다면 지금과 같은 불신은 없었을 것”이라며 SK텔레콤의 초동 대응을 지적했다.

 

“고객에게 책임 전가” 피했어야

SK텔레콤은 웹사이트 등으로 공지했으나, 피해자들은 자신이 어떤 조처를 해야 하는지, 기업이 무엇을 책임지겠다는 건지 알기 어려웠다. 고객센터 또한 과부하로 연결이 어려운 상황이었다. 특히 “‘유심 보호서비스’를 신청해야 책임지겠다” 같은 표현들은 고객에게 책임을 전가한다는 인식으로 이어지기도 했다.

 

강 대표는 “고객이 한눈에 어떤 상황인지 알아볼 수 있어야 했다”라고 지적했다. 고객이 스스로 상황을 추론해야 한다면, 이미 실패한 소통이라는 설명이다. 이는 허위 정보에 무분별하게 노출될 수 있기 때문이다. “신뢰 회복을 위해서는 잘못을 인정하고, 기업이 선제적으로 정보를 전달할 필요가 있기에 이는 최악의 소통 방식”이라 전했다.

 

‘외양간’이라도 제대로 고치자

이미 일어난 사고는 되돌릴 수 없다. 오직 책임지는 태도만이 달라질 수 있다. 강 대표는 “변명이 아니라 책임감과 진정성을 전달해야 한다”라며, “‘우리도 피해자’라는 입장 대신 ‘우리는 보안에 실패했지만, 그 책임을 다하기 위해 노력하고 있다’는 메시지가 훨씬 더 큰 공감을 얻을 수 있다”라고 강조했다.

 

강 대표는 위기 수습의 ‘3원칙’도 제시했다. 첫째는 투명한 공개다. 외부 감사 결과와 보안 검토 내용을 숨기지 않아야 한다. 둘째는 명확한 공유다. 보안 체계 강화 및 예방 시스템 구축 계획을 신뢰감 있게 알려야 한다. 셋째는 이미지 회복이다. 사회 공헌활동을 통해 ‘사회적 책임’을 실현한다는 이미지를 회복해야 한다고 말했다.

 

강 대표는 “정보 접근성이 부족하고, 기업이 소통에 실패해 국민적 불신이 고조된 상황”이라며, 국민의 불안감을 줄이기 위해 “이번 사태를 교훈 삼아 확실히 변화하겠다”라는 메시지 전달을 촉구하며, “필요시 금전적 보상이나 서비스 연장 같은 실질적 조치도 고려돼야 한다”라고 주장했다.

 

‘무책임’ 판결 다시는 나오지 않게

국민 대다수가 사용하는 서비스가 해킹당한 건 처음이 아니다. 2011년, SK커뮤니케이션즈의 ‘싸이월드’와 ‘네이트’가 해킹당해 비밀번호부터 주민등록번호까지 유출된 사고가 있었다. 대상자는 무려 3,500만 명에 달했다. 이 당시에도 운영사는 “주민번호를 암호화했기 때문에 괜찮다”라며 고객을 안심시켰으나, 당시 SBS가 ‘3초 만에’ 암호화가 해독되는 모습을 보도하며 논란이 번졌다.

 

그러던 2018년 1월, 대법원은 무려 7년간 끌어온 소송에서 “SK커뮤니케이션즈는 배상할 책임이 없다”라고 판결했다. “해킹 수법이 치밀하고 기술적한계가 있었다”라며, “보호 조치를 성실히 하지 않았다고 보기 어렵다”라는 판결이다. SK커뮤니케이션즈는 그렇게 별다른 책임을 지지 않았다.

 

 

Sk, 모범을 보여야 한다

신뢰 회복을 위해서는 ‘확실한 변화’가 필요하다. 은폐에 급급할 게 아니라, 투명한 소통과 철저한 반성이 선행돼야 한다. 제도적인 보완도 중요하다. 피해를 명확히 규명하고 권리를 되찾을 수 있도록, 정부와 입법부의 적극적인 대응이 필요하다.

무엇보다 이번 사태는 제대로 된 정보 전달에 실패했고, 사후 대응에서도 신뢰를 얻지 못했다. 결국, 책임을 고객에게 돌리는 태도는 최악의 커뮤니케이션이었다. SK의 ‘다음 사태’는 원만하게 해결되길 바란다.

취재 | 서일찬, 윤보성, 이원우

<대안저널리즘의 이해와 실천> 2025-1