[서초 프리뷰] 'SKT 유심 해킹' 집단소송 촉발…보호책임·입법 공백 도마 위

[사진=연합뉴스]

SK텔레콤 유심 정보 해킹 사태로 피해 이용자 수만 명이 통신사를 상대로 손해배상 소송에 나섰다. 이번 사건을 계기로 국내 집단소송 제도의 한계와 통신사 보호책임이 정면으로 시험대에 올랐다.

로피드법률사무소의 하희봉 변호사는 16일 1차 참여자 9,175명을 대리해 서울중앙지법에 손해배상 청구 소장을 제출했다. 원고 1인당 청구 금액은 50만 원, 전체 청구액은 46억 원에 달한다.

하 변호사는 같은 날 법원 앞 기자회견에서 “피해자들은 단순히 전화번호가 유출된 것이 아니라, 유심 비밀키가 노출돼 일상생활에서 금융서비스가 차단되거나, 명의도용 우려로 정신적 피해까지 겪고 있다”고 밝혔다.
 

소송 참가자 확산…“단순 유출 아니다, 실질적 공포”

SK텔레콤 해킹 사건 이후 손해배상 소송은 계속 확산 중이다. 법무법인 로고스는 앞서 320명을 대리해 1회선당 30만원의 위자료를 청구하는 소송을 제기했으며, 법무법인 거북이는 지난 2일 53명을 대리해 1인당 100만원을 청구했다.

법무법인 대건은 집단소송 참여 의사를 밝힌 인원이 13만 명을 넘었다고 밝혔고, LKB 등도 참여자를 모집 중이다. 법무법인 이공은 개인정보분쟁조정위원회에 집단분쟁조정신청을 제기했으며, 추가적인 민사소송도 예고하고 있다.

유심 ‘비밀키’ 유출…“단순 정보 유출 아니다”

이번 사건의 쟁점은 SK텔레콤의 유심(USIM) 관련 서버가 외부 해커의 공격을 받아 비밀키(Key) 등 중요 정보가 대규모로 유출됐다는 점이다. 유심 비밀키는 단말기와 통신망을 인증하는 핵심값으로, 해커가 이를 확보하면 이론상 원격에서 휴대전화를 복제하거나 도청할 수도 있다.

법무법인 거북이의 홍정표 변호사는 “단순 주소나 전화번호가 아니라 통신보안의 ‘뿌리’라 할 수 있는 유심 관련 고유정보가 탈취된 만큼, 통신사 측의 설명과 조치가 턱없이 부족했다”며 “SKT는 소비자에게 즉각적인 유심 교체를 무상 제공해야 할 법적 책임이 있다”고 주장했다.
 

“금융 서비스 차단, 명의도용 의심” vs “피해 범위 확인 중…지원책 마련”

SK텔레콤은 지난 4월 18일, 자사 유심 관련 서버가 외부 공격을 받아 이용자들의 유심 정보가 유출됐다고 밝혔다. 유출 규모는 정확히 공개되지 않았으나, 일부 고객은 금융 서비스 차단, 명의도용 의심 사례를 호소했다.

사태가 확산되자 SK그룹 최태원 회장은 지난 5월 7일 공식 사과에 나서 “통신사의 사회적 책무를 무겁게 받아들이고, 책임 있는 보상과 재발 방지책을 마련하겠다”고 밝혔다. 그러나 피해자 측은 “구체적인 피해 통지나 보상 계획이 여전히 부족하다”고 반발하며, 소송을 본격화하고 있다.

SK텔레콤은 “외부 해킹으로 인해 일부 유심 관련 정보가 유출된 정황을 파악하고, 즉시 서버를 차단하고 보안 조치를 완료했다”고 밝혔다. 또한 “피해 범위 확인이 완료되는 대로 고객 안내 및 지원책을 마련 중이며, 유심 교체가 필요한 고객에게는 절차를 안내하고 있다”고 설명했다.

다만 유심 비밀키의 유출 여부와 범위에 대해서는 “정확한 기술 분석이 필요하다”며 조심스러운 태도를 보이고 있다.
 

개인정보보호법 제29조…“SKT, 보호조치 의무 있었나?”

​​​​​​​
현행 개인정보보호법 제29조는 개인정보처리자에게 “개인정보의 분실·도난·유출·위조 또는 훼손 등을 방지하기 위한 기술적·관리적 보호조치를 취할 의무”를 부과한다. 즉, 단순히 해킹을 당했는지 여부가 아니라, 사전에 위험을 인지하고 합리적 조치를 취했는지 여부가 쟁점이 된다.

이 조항은 과실책임이 아니라 성과책임적 구조로 해석되기도 한다. 정보처리자는 ‘최선의 예방 조치’를 다했음을 입증해야 손해배상 책임에서 벗어날 수 있다는 뜻이다. 향후 법원은 SK텔레콤이 이 기준을 충족했는지, 비밀키 보호를 위한 암호화·접근제어·로그기록이 제대로 이뤄졌는지를 따질 가능성이 크다.
 

집단소송제 미비…“13만명 이상 참여 의사”에도 개별 소송

​​​​​​​
현재 SK텔레콤을 상대로 한 손해배상 소송은 법무법인 로고스, 거북이, 대건, LKB 등 다수 로펌이 개별적으로 제기 중이며, 일부 로펌은 13만 명 이상이 소송 참여 의사를 밝혔다고 전했다.

하지만 우리나라에서는 미국식 집단소송(Class Action) 제도가 전면 도입되지 않아, 실제 소송은 민사소송법상 공동소송이나 선정당사자 제도를 활용한 방식으로 이뤄진다. 이로 인해 수십만 명의 피해자가 발생해도 대표소송으로 일괄 판결을 받기 어렵고, 소송비용과 절차 부담으로 참여율이 제한된다는 지적이 나온다.

법무법인 이공은 피해자 다수를 대표해 개인정보분쟁조정위원회에 집단분쟁조정신청을 제기했으며, 향후 결과에 따라 소송 전환도 검토 중이다.
 

집단소송제 전면 확대 논의…“이제는 도입할 때”

현재 국회에는 집단소송제 확대 법안이 복수 계류 중이다. 해당 법안은 현재 증권 분야로 제한된 집단소송제 적용 대상을 개인정보 침해, 환경오염, 제조물 책임, 소비자 피해 전반으로 확대하는 내용을 담고 있다. 법원이 한 차례만 판단하면 전체 피해자가 동등한 배상을 받을 수 있도록 하자는 취지다.

하지만 기업들은 “무분별한 소송 남발과 과도한 배상 위험”을 우려하며 반대하고 있고, 입법은 수년째 표류 중이다. 이번 사건이 입법 논의의 분수령이 될 수 있다는 평가도 나온다.
 

법조계 “책임 있는 보상·제도 정비 동시 논의 필요”

법조계는 이번 사태가 통신사의 기술책임과 국가의 관리감독 시스템 모두에 구조적 문제를 드러냈다고 평가한다. 통신서비스는 사실상 공공재에 준하는 필수 인프라이지만, 이에 걸맞은 보안책임 규정과 사후구제 절차는 미비하다는 것이다.

한 변호사는 “유심 비밀키 유출은 일상과 금융, 나아가 국가 보안에도 영향을 줄 수 있는 중대한 사고”라며 “이번 사건을 계기로 통신사업자의 책임 강화와 집단소송제 확대 논의가 병행돼야 한다”고 지적했다.