통신3사 해킹 사태···사고는 계속될 것, 신뢰 회복은 과제

| 스마트에프엔 = 이장혁 기자 | "내 정보는 이미 다 털렸다."

SK텔레콤의 개인정보 유출 사건 이후, 국민 세 명 중 한 명이 이렇게 말했다. 더 큰 문제는 그것이 '한 통신사'의 사고가 아니었다는 점이다. 9월, 미국 해킹 전문지 프랙(Phrack)이 KT와 LG유플러스의 내부 자료를 공개했다. 세 통신사가 모두 뚫린 것이다.

"국가가 못 지키면 내가 지킨다."

국민은 유심을 교체하고, 보호 서비스를 가입했다. 개인의 방어 본능이 제도보다 빨랐다.

13일 아젠다북 리서치 조사(표본 1661명)에 따르면, 국민의 92%가 이번 사태를 '심각하다'고 평가했다. 그중 80%는 '매우 심각하다'고 답했다. 정보 신뢰 체계 자체의 붕괴를 바라보는 경고음이다.

SK텔레콤···'자진 신고'의 역설

2021년 8월, SK텔레콤 내부망에 침입한 해커는 3년 반 동안 머물렀다. 2025년 4월이 되어서야 회사는 이 사실을 인지했다. 2324만 명의 휴대전화 번호, IMSI, 유심 인증키 등 25종의 정보가 유출됐다.

SK텔레콤은 유일하게 '자진 신고'했지만 오히려 독이 됐다. 국감에서 국민의힘 박정훈 의원은 "먼저 신고해 매만 더 맞았다"고 말했다.

역설적이게도, 가장 투명하게 대응한 회사가 가장 큰 타격을 입었다.

KT···7일 늦은 인지, 그리고 금전 피해

KT는 해킹 사실을 인지하기까지 최소 7일이 걸렸다. 문제는 그사이 발생한 무단 소액결제였다. 불법 초소형 기지국(펨토셀)을 이용해 직접적인 금전 피해가 발생했다. 국감에서 의원들은 "KT는 피해 통보조차 일부 피해자에게만 했다"며 위약금 면제를 촉구했다.

김영섭 대표는 "합당한 책임을 지겠다"고 답했지만, 사퇴를 요구받았고 결국 차기 회장 후보직에서 스스로 이름을 뺐다. 

LG유플러스···해킹 정황만?

가장 불투명한 대응은 LG유플러스였다. 프랙이 내부 서버 8938대, 계정 4만 2000여개, 직원 실명 167명의 정보가 유출됐다고 밝혔음에도 LG유플러스는 "침해 정황이 없다"고 주장했다. 국회 과방위 최민희 의원은 "혹시 해킹 흔적을 없애기 위해 서버를 폐기한 것 아니냐"는 의혹까지 제기했다. 

LG유플러스는 뒤늦게 한국인터넷진흥원에 신고하겠다고 밝혔고 정부는 침해 내용과 보고 지연 경위를 조사 중이다.

현행 정보통신망법상 기업이 자진 신고하지 않으면 정부가 정밀 조사를 할 수 없다. 통신사는 각기 다른 방식으로 법의 허점을 증명해버렸다.

세대별 불신의 지형도

세대별 인식 차이도 분명했다. 18~29세의 69%가 '매우 심각'하다고 답한 반면, 60대 이상은 85%로 치솟았다. 디지털 네이티브 세대가 기술에 익숙하다면, 중장년층은 피해의 현실을 안다. 투자·의료·연금 등 인생의 기반이 모두 온라인화된 세대여서다.

응답자 30%는 '모든 민감 정보가 이미 유출됐다'고 답했다. 70~90% 유출 인식 응답까지 합치면 62%가 '정보 보호는 이미 무의미하다'고 본 셈이다.

남성의 불신이 더 극단적이었다(남 33%, 여 27%). 온라인 금융·투자 활동 노출도가 높을수록 불안감이 커졌다. 

지역별로는 광주·전라(38%)의 불안감이 가장 높았고 강원·제주는 '보호서비스만 가입'(37%)을 택하는 '예방형 대응'이 뚜렷했다. 보안조차 지역 정보격차의 그림자 속에 있다.

국민 78% '직접 방어하겠다'···믿을 건 나 뿐

국민의 절반(49%)이 유심 교체와 보호서비스를 병행했고 29%는 '보호서비스만 가입'을 택했다. 국민 10명 중 8명(78%)이 '직접 대응'에 나섰다. 

여성이 좀 더 적극적이었다. 여성의 53%가 교체+서비스를 병행했지만, 남성은 48%로 절반이 채 안됐다. 온라인 쇼핑·금융·SNS 이용률이 높은 여성들이 실제 피해 체감을 빠르게 행동으로 옮긴 것이다.

서울(57%)과 대구·경북(56%)은 선제적 대응이 강했고 광주·전라(46%)는 신중했다.

국가보다 개인이 더 빨랐다. 국민의 방어는 이미 자발적 시스템으로 진화 중이다.

통신산업 신뢰 붕괴와 보안의 폭등

이번 사태는 통신 산업 전체를 흔들었다. 한국소비자포럼 조사에 따르면 10월 SK텔레콤의 신뢰 점수는 전월 대비 27% 하락했다. KT·LG유플러스도 두 자릿수 하락세다. 이통 3사의 브랜드 신뢰도는 역대 최저다.

반면 보안 산업은 폭등했다. 정보보호 솔루션, 유심 보안 칩, 암호화 기술 기업들의 주가가 급등했다. 네이버·카카오·KT는 개인정보보호 전담조직을 신설했고 삼성전자·하이닉스는 ISMS(정보보호관리체계) 고도화를 추진 중이다.

보안은 '비용'이 아니라 '생존'이 된 것이다.

규제의 공백···정부의 '사후약방문'

현행 개인정보보호법은 유출 시 '통지 의무'만 부여한다. 피해자 구제나 징벌적 손해배상은 사실상 공백이다. EU의 GDPR은 매출의 최대 4%를 벌금으로 부과할 수 있지만, 한국은 1%도 안 된다.

더 큰 문제는 감독 체계다. KISA의 연간 점검 대상 2600개 기관 중 실제 점검률은 14%. 기업이 자진 신고하지 않으면 정부는 조사조차 할 수 없다. KT와 LG유플러스는 그 틈을 이용해 "침해 정황이 없다"고 버티다 조사에 응했다.

정부는 특별대책을 발표했다. 내용은 '보안센터 점검'과 'KISA 컨설팅 강화' 수준에 그쳤다. 과기정통부는 실시간 통보 시스템과 유심 교체비 지원을 검토 중이다. 모두 사후대책이다. 정보의 이동 경로를 투명하게 관리하는 체계가 빠져 있다.

한 통신업계 관계자는 "국민이 궁금한 건 다음 사고가 언제냐가 아니라 다음 시스템은 어떻게 달라지느냐"고 말했다.

사고는 계속될 것···신뢰 회복이 과제

통신사 개인정보 유출 사건은 보안 사고를 넘어 국민적 신뢰 위기를 드러냈다. 국민 92%가 사건의 심각성을 인식하고 절반 이상이 자신의 민감정보가 이미 유출됐다고 느끼며, 78%가 직접 대응에 나서겠다는 의사를 보인 것은 전례 없는 위기 상황임을 의미한다.

다만 세대별, 지역별 대응 방식의 차이는 향후 정책 수립에 시사점을 제공한다. 젊은층에 대한 디지털 리터러시 강화, 고령층을 대상으로 한 맞춤형 보호 조치, 지역별 맞춤 서비스 개발이 필요하다.

무엇보다 통신사와 정부는 재발 방지에 대한 명확한 로드맵을 제시하고 개인정보 보호에 대한 강화된 기술과 제도적 장치를 마련해야 한다. 국민의 불안감을 해소하고 신뢰를 회복하는 것이 향후 과제다.

한 보안 전문가는 이렇게 말했다.

"이 정도 사고면, 이동통신 사업을 접어야 한다는 경각심이 필요합니다."