<자료 사진> SKT 대리점에서 유심 사태 관련 업무를 살펴볼 수 있다.

“사흘 만에 또 해킹을 당했대요”

대학생 윤모(21) 씨가 분통을 터뜨렸다. 연이어 터진 해킹 사태 때문이다. 지난 6일 기프티콘 앱 ‘일상카페’ 개인정보 유출 통지에 이어, 2,000만 명의 회원을 보유한 온라인 서점 ‘Yes24’도 ‘랜섬웨어’ 공격을 받았다. ‘Yes24’는 접속 장애가 시작된 9일에는 사실을 부인하다, 이틀 뒤인 11일에야 뒤늦게 해킹 사실을 인정했다.

‘일상카페’ 운영사는 비밀번호가 직접 유출된 건 아니지만, 2차 피해를 막기 위해 비밀번호 변경을 권고했다. ‘일상카페’의 피해 규모는 110만 명으로, 이메일과 생년월일 등 16개 항목이 유출됐다. 비밀번호와 전화번호 역시 유출됐는데, 운영사 측은 암호화를 거쳤으므로 개인이 특정되지 않을 것이라 설명했다.

윤 씨는 이 말을 믿기 어렵다고 했다. “암호화를 했으니 직접 털린 건 아니라는데, 암호화를 제대로 했으면 애초에 유출이 안 됐겠죠.” 윤 씨는 이번 사태를 통해, 올해 4월에 겪었던 ‘SKT 사태’가 생각난다고도 했다. “이 앱도 많이들 써요. 그런데 털렸대요. 아예 사람들 많이 쓰는 걸 피해야 하나봐요.”

 

대법원 “SK, 책임 없다”

국민 대다수가 사용하는 서비스가 해킹당한 건 처음이 아니다. 2011년, SK커뮤니케이션즈의 ‘싸이월드’와 ‘네이트’가 해킹당해 비밀번호부터 주민등록번호까지 유출된 사고가 있었다. 대상자는 무려 3,500만 명에 달했다. 이 당시에도 운영사는 “주민번호를 암호화했기 때문에 괜찮다”며 고객을 안심시켰으나, 당시 SBS가 ‘3초 만에’ 암호화가 해독되는 모습을 보도하며 논란이 번졌다.

그러나 2018년 1월, 대법원은 무려 7년간 끌어온 소송에서 “SK커뮤니케이션즈는 배상할 책임이 없다”고 판결했다. “해킹 수법이 치밀하고 기술적 한계가 있었다”며, “보호조치를 성실히 하지 않았다고 보기 어렵다”라는 판결이다. 이에 따라 “1인당 위자료 100만원씩 지급하라”던 2심도 파기됐다. SK커뮤니케이션즈는 그렇게 별다른 책임을 지지 않았다.

 

SKT ‘책임 회피’에 불안감 확산

2,310만 명이 사용하던 2025년의 SK텔레콤 또한 책임 회피에 급급했다. 사고 발생 초기, 명확한 공식 발표 없이 ‘조용히 넘어가려는’ 태도를 보였다. SK텔레콤이 나흘간 침묵하는 사이, 피해자들은 언론 보도나 인터넷 글을 보며 불안에 떨어야 했다.

이미 ‘보이스피싱’을 비롯한 금융범죄 피해자들이 도처에 있다. 전화번호 도용을 통해 자신도 모르게 빚이 생긴 사례도 보도된 바 있다. 10명 중 9명이 모바일뱅킹을 주로 사용하는 시대에, 통신망이 해킹당했다는 사실은 공포 그 자체였다.

 

‘공식 입장’ 빈틈에 가짜뉴스 침투···

“유심 복제로 모든 개인정보가 털렸다”, “복제 유심으로 바로 금융자산이 털린다”는 내용 등이 SNS를 떠돌았다. 실제로는 주민등록번호나 금융 정보는 유출되지 않았고, 금융자산의 경우 2차 인증이나 추가 정보가 필요했다. 그럼에도 불안은 쉽게 가시지 않았다.

참여연대 김주호 민생경제팀장에 따르면 “첫 번째 발표할 때는 IMEI고 하는 단말기 고유 식별 번호가 유출되지 않았기 때문에 복제 폰 우려가 없다고 얘기했지만, 2차 발표 때는 IMEI도 유출된 것으로 확인이 됐다”고 말했다. 이를 김 팀장은 “오락가락 발표하는 것이 국민의 혼란을 더욱 부추긴 면이 있다”고 밝혔다.

 

“준비 없이 위기를 맞은 게 문제다”

위기관리 전문가 강함수 대표(에스코토스 컨설팅)에 따르면, SKT 사태는 ‘초동 대응’부터 잘못이었다. 문제에 대응할 수 있는 프로세스가 마련되어 있지 않아 불안을 키웠다는 것이다.

그는 위기 상황을 사전에 가정하고 준비하는 게 중요하다고 말한다. “사이버 공격은 일어날 수 있는 일이다. 그러나 내부에서 어떻게 대응할지, 외부에는 어떻게 알릴지 정해두지 않는다면 더 큰 문제로 비화되기 십상이다. 위기를 준비해야 통제 가능한 위기가 된다.”

또한 기업이 신뢰를 회복하기 위해선 ‘완벽한 기술’보다는 ‘책임 있는 태도와 철저한 준비’가 필요하다며, 무엇보다 ‘신속성’과 ‘진정성’을 챙겨야 한다고 강조했다. 불완전한 정보를 피하는 것도 중요하지만, 최소한 “기업이 상황을 인지했고 대응 중이다”는 메시지가 빠르게 전달되어야 한다는 것이다. 최고 책임자의 책임 있는 첫 메시지가 제때 나오고, 확인된 정도라도 피해 사실을 공유했다면 지금과 같은 불신은 없었으리라는 진단이다.

 

‘정반대’로 대응한 SKT

SK텔레콤은 웹사이트 등으로 공지했으나, 피해자들은 자신이 어떤 조치를 취해야 하는지, 기업이 무엇을 책임지겠다는 건지 알기 어려웠다. 고객센터 또한 과부하로 연결이 어려운 상황이었다. 특히나 “‘유심보호서비스’를 신청하여야 책임지겠다”와 같은 표현들은 고객에게 책임을 전가한다는 인식으로 이어지기도 했다.

강함수 대표는 ‘단계적 조치’가 아니라 ‘통합적 조치’의 필요성을 짚었다. 고객이 한눈에 어떤 상황인지 알아볼 수 있어야 한다는 것이다. “무엇을 해야 하고, 어떤 보호를 받는지 이해할 수 있도록 ‘자주 물어본 질문’을 정리하여 알리고, 브리핑이 동시에 이뤄져야 합니다.”

그는 고객이 스스로 상황을 추론해야 한다면 이미 실패한 소통이고 지적한다. 허위 정보나 ‘네거티브’ 광고 등에 무분별하게 노출될 수 있기 때문이다. 또한 신뢰 회복이라는 측면에서도 기업이 선제적으로 정보를 전달할 필요가 있다고 설명했다.

 

‘외양간’이라도 제대로 고치자

이미 일어난 사고는 되돌릴 수 없다. 그러나 이를 책임지는 태도는 기업의 노력에 달려있다. 강함수 대표는 “변명이 아니라, 책임감을, 진정성을 전달해야 한다”며, “우리도 피해자”라는 입장 대신 “우리가 보안 이행에 실패했고, 그 책임을 다하기 위해 노력하고 있다”는 메시지가 훨씬 더 큰 공감을 얻을 수 있다고 강조한다.

그는 위기 수습의 ‘3원칙’도 제시했다. “첫째, 외부 감사 결과와 보안 컨설팅 내용을 투명하게 공개해야 한다. 둘째, 보안 체계 강화 및 예방 시스템 구축 계획을 명확히 공유해야 한다. 셋째, 사회공헌활동을 통해 사회적 책임을 실현하는 기업의 이미지를 회복해야 한다.”

마지막 단계에서는 “우리는 이번 사례를 교훈 삼아 변화하고 있다”는 메시지를 고객에게 전달해야 한다. 강함수 대표는 “외부 감사 결과와 시스템 개선 사항을 공개하고, 필요시 금전적 보상이나 서비스 연장 같은 실질적 조치도 고려돼야 한다”고 말했다.

 

무너진 신뢰 바로잡아야

강함수 대표는 “정보 접근성이 부족하고, 기업이 소통에 실패해 국민적 불신이 고조된 상황”이며, 국민의 불안감을 줄이기 위해 “현재 상황을 투명하게 공유하고, 접근성을 높이는 소통, 솔직히 알리는 소통”을 지금이라도 할 필요가 있다고 밝혔다.

김주호 팀장은 ‘집단소송제도’의 필요성을 주장했다. “우리나라엔 ‘집단소송제도’와 ‘징벌적 손해 배상제’가 없어 피해자 권리가 보장되기 어렵다”며, “각자 소송을 진행하게 되면 변호사 비용 마련이 어렵고 피해 입증도 힘들다”고 지적했다. 이에 더해, 김주호 팀장은 “미국의 ‘T모바일’은 6천억에 가까운 돈을 지급한 적이 있다”며, “정보 보안에 주의를 기울이도록 하려면 외국처럼 소비자들의 피해 구제가 쉬워져야 한다”고 말했다.

 

반복되는 해킹 사태와 국민의 보안 불신을 완화하기 위해서는, 기업의 투명하고 진정성 있는 소통이 필요하다. 제도적으로는 소비자의 권리를 실질적으로 보장할 수 있는 입법이 필요하다. 징벌적 손해배상이나 집단소송제 도입 논의는 그 첫걸음이 될 것이다.

 

취재 | 서일찬, 윤보성, 이원우

<대안저널리즘의 이해와 실천> 2025-1