SKT "고객 신뢰 회복" 외쳤지만 '최대 7조 손실' 우려에 위약금 면제는 '머뭇' (종합)

유영상 SKT 사장이 8일 서울 여의도 국회에서 열린 제425회 국회(임시회) 과학기술정보방송통신위원회 'SK텔레콤 해킹 관련 청문회'에서 고개 숙여 인사하고 있다.ⓒ데일리안 조인영 기자

SK텔레콤(SKT)은 해킹 사고와 관련해 고객 신뢰 회복에 최선을 다하겠다는 입장을 밝혔다. 다만 위약금을 면제할 경우 최대 7조원의 손실이 예상돼, 즉각적인 결론을 내리기는 어렵다고 확답을 미뤘다.

8일 서울 여의도 국회에서 열린 제425회 국회(임시회) 과학기술정보방송통신위원회 'SK텔레콤 해킹 관련 청문회'에서 이해민 조국혁신당 의원은 "위약금 내느냐 마느냐, 면제를 하느냐 마느냐는 각론에 가깝다. 중요한 것은 고객 신뢰를 회복할 수 있느냐 이것이 제일 중요하다"고 지적했다.

유영상 사장은 "지금까지는 FDS(이상거래탐지시스템), 유심보호서비스, 유심 교체 등 고객 보호에 집중했는데 고객 신뢰 회복이 무엇 보다 중요하다는 데 공감한다"고 말했다.

이어 "어제 대책을 수립한 것은 고객신뢰회복위원회를 조속히 설치하고 위원회에서 우리 신뢰가 상실된 많은 부분에 대해 조사하고, 고객 목소리 듣고, 조치할 수 있도록 (위원회를) 최대한 빨리 만들도록 하겠다"고 설명했다.

다만 위약금 면제에 대해서는 당장 결론을 내리기 힘들다고 밝혔다. 대규모 고객 이탈이 우려된다는 이유에서다.

"위약금 면제 결론 못내…회사 손실·고객 형평 모두 따져야"

이훈기 더불어민주당 의원이 위약금 면제 결정이 지연되는 이유를 묻자, 유 사장은 "과기부가 법률적, 유권 해석을 내리면 이를 참조해 이사회와 신뢰회복위원회에서 논의해 결정하겠지만, 파장이 아주 큰 부분이 있어 어려움이 있다"고 답했다.

이 의원이 위약금 면제 시 고객 이탈 규모를 묻자, 유 사장은 “현재보다 최대 10배 이상”이라며 "해킹 사태 이후 25만명이 이탈했다"며 약 250만명에 달할 것으로 예상했다. 평균 위약금에 대해서는 “최소 10만원은 넘을 것”이라고 밝혔다.

그러자 박정훈 국민의힘 의원은 SKT 이용약관 제 43조에 근거해'회사의 귀책 사유로 인해 해지할 경우' 위약금을 면제받을 수 있는 것 아니냐고 따져물었다.

이에 대해 강도현 과기부 제2차관은 "정도와 내용을 법률 자문에서 면밀히 살피고 있다"고 답했다.

유상임 과기부 장관은 "사업자 귀책 여부를 판단할 때는 고의 과실 여부, 현재 정보보호기술 수준, 정보보호조치 등 이러저러한 사항을 함께 고려해야 한다"면서 "법률 검토는 조속히 이뤄질 것이다. 마지막 참고할 사항이 민관합동조사단의 보고서가 될 것"이라고 말했다.

유영상 사장은 SKT 이사회에서 위약금 문제를 논의했지만, 당장 결정을 내리기 어렵다고 밝혔다. 법적 쟁점은 물론 회사 손실, 통신 생태계 내 고객 차별 문제까지 종합적으로 검토해야한다는 설명이다.

유 사장은 "위약금 뿐 아니라 3년치 매출을 고려하면 7조원 이상 손실이 예상된다"고 덧붙였다.

유영상 SK텔레콤(SKT) 사장이 8일 서울 여의도 국회에서 열린 제425회 국회(임시회) 과학기술정보방송통신위원회 'SK텔레콤 해킹 관련 청문회'에서 질의에 답하고 있다.ⓒ데일리안 조인영 기자

이동통신망 보안 수준, 타 기관 보다 높여야

SKT 해킹 사태와 관련해 국내 보안 체계가 최소 기준에 머물러 있다는 지적도 나왔다.

김승주 고려대학교 교수는 "우리나라에서는 ISMS(정보보호 관리체계)가 일괄적으로 적용되고 있지만, 이는 보안의 최대치가 아니라 최소 기준"이라고 말했다.

이어 "외국 이동통신사 해킹 보고서 보면 이통사를 공격한 해커는 국가의 지원을 받는 경우가 많다. 예산적으로 든든한 뒷배가 있다는 것"이라며 "따라서 유럽 여러 나라들은 통신사 자체만 위한 별도 법을 둔다. 영국 등에서는 텔레커뮤니케이션 시큐리티 액트라고 해서 150페이지 분량으로 정해놓고 있다 총 매출의 10% 과징금 부과한다"고 말했다.

류정환 SKT 부사장은 "교수님이 말씀하신대로 최고의 조건이 아니고 최소 정도의 수준이다. 저희는 그 이상으로 충분히 갖췄는데 그럼에도 불구하고 이 사건이 벌어진 것에 대해 죄송스럽게 생각한다"고 말했다.

박충권 국민의힘 의원은 해킹 조사가 얼마나 걸릴지 물었다. 유상임 과기부 장관은 "민관합동조사단이 종합적으로 피해가 어디까지인지 정밀하게 조사하고 있다. 과거 여섯번의 사례(2014~2023년)를 보면 빨리 마친 것은 20일, 많이 걸린 것은 세 달이다. 이번 조사단 결과는 1~2개월로 예측하고 있다"고 답했다.

그러면서 "현재까지 피해 사례는 없다"고 강조했다.

진행률이 어느 정도 됐는지에 대해 강도현 과기부 제2차관은 "피해 우려 서버가 3만3000대 정도 있다. 세 차례 조사했다. 전체적으로 기지국, 하드웨어 서버까지 합치면 40만대 이상이 있다. 퍼센트로 획일적으로 정리하기 어려운 상황"이라고 설명했다.

사이버 침해 사고에 따른 SKT 사과문.SKT 홈페이지 캡처

SKT만 유심 인증키 암호화 안 해 '뭇매'

SK텔레콤이 유심(USIM) 인증키 암호화를 이통 3사중 유일하게 하지 않았다는 지적도 제기됐다.

노종면 더불어민주당 의원이 SKT만 유심(USIM) 인증키 암호화를 하지 않았다고 지적하자 유상임 과기부 장관은 "가입자식별번호(IMSI)는 이통사가 전부 암호화하지 않았는데, 전세계 이통사가 암호화하지 않는다고 보고 받았다"면서 "대신 인증키를 SKT만 암호화하지 않은 것은 소홀했다 생각한다"고 말했다.

이어 "가급적 암호화하는 것이 보안에 유리하니까 그렇게 지도하는 게 맞다"고 덧붙였다.

"KT·LGU+ 유출에도 위약금 면제 없었다"…형평성 문제도

한편 KT·LG유플러스의 과거 개인정보 유출 사례와 비교해 SK텔레콤(SKT) 해킹 사태에만 위약금 면제 논의가 진행되는 것은 형평성에 맞지 않다는 지적도 있었다.

박충권 국민의힘 의원은 "SKT는 해킹을 스스로 인지해 늦었지만 KISA와 개인정보보호위원회에 신고했고 현재 조사가 진행중"이라며 "반면 KT(2012년, 2014년)와 LG유플러스(2023년)는 해킹 사실을 스스로 인지하지 못한 것으로 알고 있다"고 지적했다.

이에 대해 유상임 과기부 장관은 "위약금 면제는 (공식적으로 논의된 적은) 한번도 없었고, 단지 사업자가 자발적으로 면제한 경우는 있었다"면서 "2016년 삼성전자 노트7 발화 사태로 이통사가 위약금을 면제한 사례"라고 설명했다.

박 의원이 "기업에 (해커가) 금전 요구를 하면 기업이 먹잇감이 되지 않겠나"라고 우려하자 강 차관은 "해킹 피해는 없는지, 감염 서버는 없는지, 추가 발생은 없는지 집중하는 것이 맞다"고 답했고 유상임 장관은 "그런 우려사항을 면밀히 검토해야 될 것"이라고 말했다.