"SKT 조치, 해킹 예방책인가"… 범인 모른 채 피해 기업만 '곤혹'

2025-08-29 15:53:00 | 배소현 기자 | kei_05219@mediapen.com

페이스북 트위터 카카오톡

프린트 가 + 가 -

SKT, 해킹 후폭풍에 8000억원 썼는데… 1348억원 역대급 과징금
업계선 적정성·형평성 의구심… 향후 기업 신고 등 위축 우려

[미디어펜=배소현 기자] SK텔레콤(SKT)이 개인정보보호위원회(개인정보위)로부터 역대 최대 규모의 과징금을 받았다. 해킹으로 인한 직접적인 2차 피해가 없었다는 점 등을 고려하면 제재가 지나치다는 지적이 나온다.


▲ SK텔레콤에 개인정보보호위원회가 역대 최대 과징금 1348억원을 부과했다./사진=연합뉴스제공

29일 업계에 따르면 개인정보위는 유심 해킹 사태를 겪은 SKT에 과징금 1347억9100만 원, 과태료 960만 원을 부과했다.

앞서 SKT는 최근 유심 해킹 사태로 이미 수십만 명의 가입자를 잃는 등 직격탄을 맞았다. 유심 해킹 사고 보고 이후 지난 4월 19일부터 위약금 면제 종료일인 7월 14일까지 SKT의 번호이동 순감 규모는 72만 명이다. 이에 지난 10년 간 지켜온 이동통신시장 점유율 40%선도 붕괴됐다.

또 SKT는 해킹 사태 대응 차원에서 전 가입자 대상 유심 무상 교체와 영업점 손실 보상 등으로 2분기에만 2500억 원 규모의 일회성 비용을 지출했다. 파장은 즉각 실적으로 이어져 SKT의 2분기 연결기준 영업이익은 전년 동기 대비 37% 하락한 3383억 원으로 집계됐다.

특히 3~4분기에 5000억 원 규모의 보상안이 실시되는 등 해킹 후폭풍 관련 주요 지출이 예정된 가운데, 과징금 부담까지 겹치면서 SKT의 실적 하락세는 더욱 심화될 전망이다.

◆ 국내·해외와 비교해도 과해… 비례성 문제도 거론

▲ 고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다./사진=연합뉴스 제공

업계에서는 이번 처분의 적정성과 형평성을 두고 의구심을 표하는 분위기다. 현재까지 직·간접적 고객 피해 사례도 보고되지 않은 상황에서 외부 세력에 의한 해킹 피해 기업에 역대급 철퇴를 내린 것은 '과도한 기업 때리기' 아니냐는 것이다.

국내 다른 기업의 사례와 비교해도 이번 과징금 규모는 이례적이다. LG유플러스는 고객정보 30만 건이 유출된 사건으로 68억 원의 과징금 처분을 받았다. 글로벌 기업과 비교되는 부분도 있다. 개인정보위가 종전까지 부과한 최대 과징금은 지난 2022년 9월 구글(692억 원)과 메타(308억 원)에 부과된 총 1000억 원이다. 구글과 메타는 이용자 동의 없이 개인정보를 수집해 온라인 맞춤형 광고에 활용하는 등의 개인정보법을 위반했다.

이와 관련해 한 업계 관계자는 "고의적이고 영리적인 목적으로 법을 위반한 해외 사례보다 국내 해킹 피해 기업인 SKT에 더 무거운 철퇴를 내린 것"이라며 "이번 SKT 사례는 국내 타통신사들에게도 굉장한 부담일 것"이라고 말했다.

법 체계 간 비례성 문제도 거론된다. 신용정보법은 개인신용정보 유출 시 과징금 상한을 50억 원으로 제한한다. SKT의 경우 신용정보 유출보다 민감도가 낮은 유심 정보 유출 사건에 더 높은 수준의 과징금이 부과된 상황이다.

◆ "해킹에서 자유로운 기업은 없어"… 정부 차원 방어 체계 필요성↑

▲ 사진=픽사베이 제공

이에 일각에서는 해킹 문제에 대해 징벌적 과징금 중심의 제재보다는 정부 차원의 방어 체계 구축이 우선돼야 한다는 목소리가 나온다. 특히 이번 사건처럼 APT(지능형 지속 위협) 공격은 기업 자체 역량만으로는 대응에 한계가 있어 국가 차원의 방어 체계와 지원이 필요하다는 것이다.

김휘강 고려대학교 정보보호대학원 교수는 "장기간 특정 기업을 대상으로 집요하게 해킹을 진행하면 사실상 막을 수 있는 기업은 거의 없을 것"이라며 "해킹 조직이 언제든 마음 먹고 제대로 공격하면 보안에 지속적으로 투자해오던 기업이더라도 피해는 불가피할 수 있다"고 말했다.

그러면서 "보안 강화를 위한 정책적 개선과 함께 해킹 현장에서 확보한 정보를 공유해 집단 대응을 촉진하는 제도적 장치가 필요하다"고 전했다.

이는 과도한 제재가 기업의 신고와 정보 공유를 위축시킬 수 있다는 우려와도 일맥상통하는 지적이다. KISA(한국정보보호산업협회)에 따르면 지난해 침해 사고를 경험한 기업 중 당국에 신고한 비율은 19.6%에 그쳤다.

김 교수는 "(해킹사고 발생 시 당한 기업을) 처벌에 집중되면 향후 해킹 사실을 오히려 감추게 되는 분위기가 형성되는 등 부작용이 커질 수 있다"며 "보안 침해 사고에 대한 대응을 '책임과 엄벌'에서 '공유와 협업', 그리고 '집단 대응'으로 전환해야 한다"고 말했다.

한편 SKT 측은 재발 방지에 전사 차원의 역량을 다하겠다면서도 이번 과징금 처분과 관련해선 불복할 가능성을 시사했다.

SKT는 "이번 결과에 무거운 책임감을 갖고 있으며 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기할 것"이라면서도 "조사 및 의결 과정에서 당사 조치사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감"이라고 밝혔다.

그러면서 "향후 의결서를 수령한 뒤 내용을 면밀히 검토해 입장을 전할 예정"이라고 덧붙였다.

[미디어펜=배소현 기자] ▶다른기사보기