과기정통부 “유심 유출…SKT 귀책, 위약금 면제 해당”

【서울 = 서울뉴스통신】 최정인 기자 = SK텔레콤이 해킹으로 인한 유심정보 유출 사고에 대해 이용자에게 위약금을 부과할 수 없다는 정부 판단이 나왔다. 과학기술정보통신부는 4일 민관합동조사단 결과를 발표하며 “이번 침해 사고는 SK텔레콤의 귀책사유에 해당한다”며 “이로 인해 계약 해지를 선택한 이용자에게는 위약금 면제가 적용돼야 한다”고 밝혔다.

해당 침해 사고는 2021년 8월 6일부터 시작됐으며, 해커가 SK텔레콤 서버에 침투해 28개 서버를 공격하고 총 33개의 악성 코드를 설치한 것으로 조사됐다. 이로 인해 유심정보 25종, 총 9.82GB 분량의 민감한 정보가 유출됐다. 유심정보는 이동통신망 접속과 보안을 위한 핵심 요소로, 유출 시 제3자가 통신서비스를 악용할 수 있는 심각한 위험이 발생할 수 있다.

조사단은 SK텔레콤이 계정 관리에 부실했고, 과거 침해사고에 대한 대응이 미흡했으며, 암호화 조치도 부족했다고 지적했다. 또한 유심 보호를 위해 운영 중이던 부정사용방지시스템(FDS) 1.0의 기능이 한계가 있었고, ‘유심 보호 서비스’는 5만 명 정도만 가입해 실질적 보호 범위도 제한적이었다.

과기정통부는 SK텔레콤이 관련 법령에서 정한 보안 기준을 지키지 않았고, 이용자에게 ‘안전한 통신 서비스’를 제공해야 하는 계약상 주된 의무를 위반했다고 판단했다. 특히 SK텔레콤 약관 제43조에는 사업자의 귀책으로 이용자가 계약을 해지할 경우 위약금을 면제한다는 조항이 명시돼 있어, 이번 사고는 해당 조항 적용 대상이라는 해석을 내놨다.

이에 대해 과기정통부는 총 5개 법무법인에 자문을 요청했으며, 이 중 4곳이 “이번 사고는 SK텔레콤의 과실로 인한 계약상 의무 위반이며, 위약금 면제 조항 적용이 가능하다”는 의견을 냈다. 나머지 1곳은 현재 자료로 판단하기 어렵다고 유보적 입장을 보였다.

과기정통부는 이번 판단이 SK텔레콤 약관 및 특정 사건에 국한된 해석임을 강조하며, 모든 사이버 침해 사고가 위약금 면제에 해당하는 것은 아니라는 점을 분명히 했다. 다만 이번 사건을 통해 통신사의 보안 책임에 대한 경각심이 더욱 요구되고 있다는 점도 함께 지적됐다.