‘SKT 해킹 사태’의 충격이 여전한데, 2,000만 명의 회원을 보유한 온라인 서점 ‘Yes24’의 해킹 소식이 들려왔다. ‘Yes24’는 접속 장애가 시작된 9일에는 사실을 부인하다, 이틀 뒤인 11일에야 뒤늦게 해킹 사실을 인정했다. 나흘간 ‘침묵’했던 SK텔레콤의 대처가 겹쳐보인다. 여전히 진전이 없는 ‘SKT 해킹 사태’에 대해, 전문가에게 어떻게 대처해야 할지 물었다.

 

‘오락가락’ 대처에 가짜뉴스 침투

SK텔레콤 ‘2,310만’ 고객이 불안에 떨었다. 언론 보도로 ‘유심(USIM) 해킹’ 소식이 전해졌지만, 나흘간 SK텔레콤의 아무런 입장이 나오지 않았기 때문이다. 10명 중 9명이 모바일뱅킹을 주로 사용하는 시대에, 내 휴대전화가 해킹당했다는 소식은 공포 그 자체였다. “유심 복제로 모든 개인정보가 털렸다”, “복제 유심으로 바로 금융자산이 털린다”는 내용 등이 SNS를 떠돌았다. 실제로는 주민등록번호나 금융 정보는 유출되지 않았고, 금융자산의 경우 ‘2차 인증’ 덕분에 대참사는 막았다. 그럼에도 불안은 쉽게 가시지 않았다.

참여연대 김주호 민생경제팀장은 ‘가짜뉴스’ 확산에 SKT의 책임이 크다고 봤다. “첫 번째 발표할 때는 ‘단말기 고유 식별 번호(IMEI)’가 유출되지 않았기 때문에 복제 폰 우려가 없다고 얘기했지만, 2차 발표 때는 ‘IMEI’도 유출된 것으로 확인이 됐다”며, “오락가락 발표하는 것이 국민의 혼란을 더욱 부추긴 면이 있다”고 설명했다.

위기관리 전문가 강함수 대표(에스코토스 컨설팅)도 ‘초동 대응’을 지적했다. 문제에 대응할 수 있는 프로세스가 마련되어 있지 않아 불안을 키웠다는 것이다. 그는 위기 상황을 사전에 가정하고 준비하는 게 중요하다고 말한다. 사이버 공격은 일어날 수 있지만, 최소한 “기업이 상황을 인지했고 대응 중이다”는 메시지가 빠르게 전달되어야 한다는 것이다. 최고 책임자의 책임 있는 첫 메시지가 제때 나오고, 확인된 정보라도 공유했다면 지금과 같은 파국은 없었으리라는 진단이다.

 

“고객에게 책임전가” 피했어야

SK텔레콤은 웹사이트 등으로 공지했으나, 피해자들은 자신이 어떤 조치를 취해야 하는지, 기업이 무엇을 책임지겠다는 건지 알기 어려웠다. 고객센터 또한 과부하로 연결이 어려운 상황이었다. 특히나 “‘유심보호서비스’를 신청하여야 책임지겠다”와 같은 표현들은 고객에게 책임을 전가한다는 인식으로 이어지기도 했다.

강함수 대표는 “고객이 한눈에 어떤 상황인지 알아볼 수 있어야 했다”고 지적했다. 고객이 스스로 상황을 추론해야 한다면, 이미 실패한 소통이라는 설명이다. 허위 정보에 무분별하게 노출될 수 있기 때문이다. 신뢰 회복을 위해서는 잘못을 인정하고, 기업이 선제적으로 정보를 전달할 필요가 있다고 밝혔다.

 

‘외양간’이라도 제대로 고치자

이미 일어난 사고는 되돌릴 수 없다. 오직 책임지는 태도만이 달라질 수 있다. 강함수 대표는 “변명이 아니라 책임감과 진정성을 전달해야 한다”며, “우리도 피해자”라는 입장 대신 “우리는 보안에 실패했지만, 그 책임을 다하기 위해 노력하고 있다”는 메시지가 훨씬 더 큰 공감을 얻을 수 있다고 강조했다.

강함수 대표는 위기 수습의 ‘3원칙’도 제시했다. 첫째, 투명한 공개다. 외부 감사 결과와 보안 검토 내용을 숨기지 않아야 한다. 둘째, 명확한 공유다. 보안 체계 강화 및 예방 시스템 구축 계획을 신뢰감있게 알려야 한다. 셋째, 이미지 회복이다. 사회공헌활동을 통해 ‘사회적 책임’을 실현한다는 이미지를 회복해야 한다고 말했다.

강함수 대표는 “정보 접근성이 부족하고, 기업이 소통에 실패해 국민적 불신이 고조된 상황”이라며, 국민의 불안감을 줄이기 위해 “이번 사태를 교훈삼아 확실히 변화하겠다”라는 메시지 전달을 촉구하며, “필요시 금전적 보상이나 서비스 연장 같은 실질적 조치도 고려돼야 한다”고 주장했다.

 

‘무책임’ 판결 다시는 나오지 않게

국민 대다수가 사용하는 서비스가 해킹당한 건 처음이 아니다. 2011년, SK커뮤니케이션즈의 ‘싸이월드’와 ‘네이트’가 해킹당해 비밀번호부터 주민등록번호까지 유출된 사고가 있었다. 대상자는 무려 3,500만 명에 달했다. 이 당시에도 운영사는 “주민번호를 암호화했기 때문에 괜찮다”며 고객을 안심시켰으나, 당시 SBS가 ‘3초 만에’ 암호화가 해독되는 모습을 보도하며 논란이 번졌다.

그러던 2018년 1월, 대법원은 무려 7년간 끌어온 소송에서 “SK커뮤니케이션즈는 배상할 책임이 없다”고 판결했다. “해킹 수법이 치밀하고 기술적 한계가 있었다”며, “보호조치를 성실히 하지 않았다고 보기 어렵다”라는 판결이다. SK커뮤니케이션즈는 그렇게 별다른 책임을 지지 않았다.

김주호 팀장은 ‘집단소송제도’의 필요성을 주장했다. “우리나라엔 ‘집단소송제도’와 ‘징벌적 손해 배상제’가 없어 피해자 권리가 보장되기 어렵다”며, “각자 소송을 진행하게 되면 변호사 비용 마련이 어렵고 피해 입증도 힘들다”고 지적했다. 이에 더해, 김주호 팀장은 “미국의 ‘T모바일’은 6천억에 가까운 돈을 지급한 적이 있다”며, “정보 보안에 주의를 기울이도록 하려면 외국처럼 소비자들의 피해 구제가 쉬워져야 한다”고 말했다.

 

신뢰 회복을 위해서는 ‘확실한 변화’가 필요하다. 은폐에 최선을 다할 게 아니라, 투명한 소통과 철저한 반성이 필요하다. 제도적인 보완도 중요하다. 피해를 제대로 규명하고 권리를 찾을 수 있도록, 정부와 입법부의 적극적인 지원이 요구된다.

 

취재 | 서일찬, 윤보성, 이원우
<대안저널리즘의 이해와 실천> 2025-1