SKT 위약금 면제 논란…통신업계 "모든 해킹에 적용될라" 긴장

정부 "보안의무 위반 인정"…업계 "법령 기준 명확히 해야"
예스24·써브웨이 등 잇단 해킹…"보안 경각심 계기" 평가도

(서울=연합뉴스) 조현영 기자 = 정부가 SK텔레콤[017670]의 사이버 침해 사고에 위약금 면제 규정을 적용할 수 있다는 판단을 내놓으면서 통신업계의 근심이 커지고 있다.

업계는 SK텔레콤 사태는 필수적인 보안 조치를 이행하지 않아 귀책 사유가 인정된 경우에 해당한다며 과거 통신업계에서 발생한 해킹 사고와 선을 그으면서도, 실제 피해가 없음에도 불구하고 위약금 면제라는 결정이 나온 데 대해 우려하는 분위기다.

4일 과학기술정보통신부는 지난 4월 발생한 SK텔레콤 사이버 침해 사고가 SK텔레콤 이용약관 제43조상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단했다.

SK텔레콤 이용약관 제43조 위약금 면제 규정에는 회사의 귀책 사유로 인해 해지할 경우 제42조 제1항에 의한 위약금 납부 의무가 면제된다는 조항이 있다.

과기정통부는 법률 자문을 통해 이번 침해 사고가 '안전한 통신서비스 제공'이라는 정보통신망법상 통신 사업자에게 주어지는 주요 의무 위반에 해당하고, 보안 관련 법령이 정한 기준을 준수하지 못했으므로 귀책 사유가 인정된다고 설명했다.

이에 통신업계 한 관계자는 "SK텔레콤 건은 해킹으로 인한 위약금 면제라기보다는 암호화 등 필수적인 보안 조치 사항을 이행하지 않은 데 대한 귀책 사유를 인정한 것으로 보인다"며 "그간 통신사 등 업계 해킹 사건은 법적·제도적 가이드라인에 맞춰 최선의 노력을 했기 때문에 책임을 면제해 준 것"이라고 말했다.

SK텔레콤이 서버 계정 정보를 부실하게 관리하고 과거 유사한 침해 사고에 대해 면밀히 조사하지 않았으며, 유심 인증키(Ki) 값 등 주요 정보를 암호화하지 않았기 때문에 위약금 면제 결정이 나온 것이지, 단순히 해킹 사고 때문은 아니라는 것이다.

과기정통부 또한 회사 측 귀책 사유 인정과 위약금 면제 판단은 SK텔레콤 약관과 이번 침해사고에 한정되며, 모든 사이버 침해사고가 약관상 위약금 면제에 해당한다는 일반적인 해석이 아니라는 점을 명시했다.

그러나 정부 유출로 인한 실제 피해가 발생하지 않았다는 점에서, 단순히 귀책 사유만으로 기업에 적지않은 부담을 주는 위약금 면제를 결정한 것이 과도하다는 입장도 있다.

다른 통신업계 관계자는 "정보통신망법상 통신 사업자에게 안전한 통신서비스를 제공할 의무가 있다는 점을 문제 삼았는데, '안전한'이 어느 수준을 의미하는지 정해진 바 없다"며 "법령 정비부터 하고 재발 시 제재하는 것이 순서인데 선례부터 생겼다"고 말했다.

SK텔레콤 인증 대리점 (서울=연합뉴스) 서명곤 기자 = 7일 서울 시내 한 SK텔레콤 인증 대리점에 신규 가입 중단 안내문이 부착돼있다. 2025.5.7 seephoto@yna.co.kr

통신사 등 정보기술(IT) 업계는 항상 해킹의 위협에 노출되어 있기에, 이번 결정은 일반적인 해석으로 확대해서는 안 된다는 과기정통부의 입장에도 불구하고 해킹 사고 발생 시 기업에 피해를 전가하는 상황이 반복될 수 있다는 것이다.

임종인 고려대학교 정보보호대학원 교수는 "비정상 재부팅이 발생했다는 2022년과 현재 기술 수준은 하늘과 땅 차이"라며 "당시 신고를 하지 않은 데 대해서는 조사가 이뤄져야겠지만, 그 당시 기술로 봤을 때 (사고 경중이) 어땠는지를 감안할 필요가 있다"고 말했다.

다만 이번 결정이 통신업계뿐 아니라 사회 전반적으로 개인정보와 보안 관련 경각심을 높이는 계기가 될 것이라는 데는 이견이 없는 것으로 보인다.

최근 예스24[053280], 써브웨이, 파파존스, 디올 등 IT업계를 넘어 문화업, 요식업, 패션업 등 전방위적으로 해킹 피해가 속출하고 있어 기업의 보안 의무 준수 여부가 수면 위로 떠올랐기 때문이다.

통신업계 한 관계자는 "이번 결정을 원활한 통신 서비스는 물론, 철저한 개인정보 관리까지 통신사 업무로 확장한다는 의미로 해석해 앞으로 서비스와 보안에 역량을 집중하겠다"고 말했다.

염흥열 순천향대 정보보호학과 교수는 "SK텔레콤뿐 아니라 우리나라에서 인터넷을 기반으로 하는 기업들이 사이버 보안에 투자하고 공격에 견딜 수 있는 대응 체계를 구축해야 한다는 인식이 생길 것"이라며 "사회 전반적으로 우리나라 사이버 보안 능력 제고를 위한 법 제도 개선과 국민적 합의가 있을 것"이라고 기대했다.

임 교수도 "SK텔레콤이 이번 결정으로 손해를 입는 것을 보며 다른 기업도 '보안에 실패하면 저렇게 큰 피해가 있구나'라고 생각할 것"이라며 "우리나라 보안 문화 향상을 위한 계기로 삼아야 한다"고 말했다.

hyun0@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포, AI 학습 및 활용 금지>