2700만 건 유심정보 유출… SKT 담당자 징역형 처벌에 천문학적 민사책임 질 수도

2025. 05. 19 14:48 작성

손수형 기자

sh.son@lawtalknews.co.kr

개인정보 임시 저장 서버까지 침해...IMEI·이름·생년월일·전화번호 등 유출 가능성에 법적 책임 가중

2700만 건 유심정보 유출… SKT 담당자 징역형 처벌에 천문학적 민사책임 질 수도 기사 관련이미지

최우혁 과학기술정보통신부 정보보호네트워크정책관이 19일 SKT 침해사고 관련 민관합동 조사결과 2차 발표 브리핑을 하고 있다. /연합뉴스

SK텔레콤에 대한 해킹 공격으로 가입자 전원의 유심(USIM) 정보뿐 아니라 개인정보를 임시로 저장하던 서버까지 침해받은 사실이 확인됐다.

민관합동 조사단이 19일 발표한 2차 조사 결과에 따르면, 해커가 악성코드를 심은 시점은 지난 2022년 6월 15일로 특정됐으며, 피해 범위가 수천만 명 규모에 이르는 것으로 나타났다.

감염 서버 23대로 확대…IMEI·민감 개인정보 유출 정황

2차 조사에서는 악성코드에 감염된 서버가 1차 조사 때 발표된 5대에서 총 23대로 크게 늘어났다. 특히 이번에 새롭게 드러난 2대의 서버는 개인정보를 일정 기간 임시로 저장하던 서버였으며, 이 서버들에서는 이름, 생년월일, 전화번호, 이메일 등 휴대전화 가입 시 수집되는 개인정보가 포함되었을 가능성이 있는 것으로 추정됐다.

더욱 우려되는 점은 이들 서버가 통합고객인증 서버와 연동되어 있었고, 고객 인증 과정에서 단말기 고유식별번호(IMEI)와 개인정보를 함께 저장하고 있었다는 사실이다. 이에 따라 IMEI가 유출되었을 가능성도 제기됐다. IMEI는 휴대전화 복제나 이상 금융거래 등에 악용될 수 있어 정보보안 차원에서 주요한 위험 요소로 간주된다. 조사단은 임시 저장 파일에서 총 29만 2,831건의 IMEI 등이 포함된 사실을 확인했다고 밝혔다.

1년 반 이상 '로그 공백'…최근에서야 개인정보 서버 해킹 인지

조사단은 지난 2023년 12월 3일부터 2024년 4월 24일까지는 방화벽 로그가 존재하며, 해당 기간에는 정보 유출이 없었다고 밝혔다. 그러나 지난 2022년 6월 15일부터 2023년 12월 2일까지는 로그 기록이 남아 있지 않아, 이 기간의 유출 여부는 확인이 어렵다고 설명했다.

문제가 된 개인정보 포함 서버에 대한 해킹은 지난 11일에 확인됐고, 조사단은 SK텔레콤 측에 자료 유출 가능성을 자체적으로 점검하고 이용자 피해를 예방할 대책을 마련할 것을 요구했다. 이어 지난 13일에는 개인정보보호위원회에 해당 사실을 통보하고 서버 자료를 공유했다.

최대 5년 징역형까지…보호책임자 등 형사처벌 가능

이러한 대규모 개인정보 유출 사태에 대해 SK텔레콤은 형사적, 민사적으로 중대한 책임을 질 수 있다. 개인정보 보호법에 따르면, 정당한 권한 없이 또는 허용된 권한을 초과하여 다른 사람의 개인정보를 훼손·멸실·변경·위조 또는 유출한 자는 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처해질 수 있다.

또한 개인정보 보호법 제73조 제1항에 따라 안전성 확보에 필요한 기술적·관리적 조치의무를 위반하여 개인정보를 분실·도난·유출·위조·변조 또는 훼손당한 경우에도 형사처벌이 가능하다. SK텔레콤의 개인정보 보호책임자 및 관련 임직원이 처벌 대상이 될 수 있으며, 특히 IMEI와 다수의 개인정보가 함께 유출된 것이 확인된다면 개인정보 침해의 심각성이 높아져 형량이 가중될 가능성이 있다.

징벌적 손해배상·법정손해배상 청구 가능…'상당한 배상액' 전망

민사적 책임 측면에서는 개인정보 보호법 제39조에 따라 SK텔레콤은 개인정보 유출로 인한 손해배상 책임을 부담할 수 있다. 정보주체는 개인정보처리자가 이 법을 위반한 행위로 손해를 입으면 개인정보처리자에게 손해배상을 청구할 수 있으며, 개인정보처리자는 고의 또는 과실이 없음을 입증하지 않는 한 책임을 면할 수 없다.

특히 개인정보처리자의 고의 또는 중대한 과실로 인하여 개인정보가 유출된 경우, 법원은 손해액의 5배를 넘지 않는 범위에서 손해배상액을 정할 수 있다. 또한 정보주체는 300만 원 이하의 범위에서 상당한 금액을 손해액으로 하여 배상을 청구할 수 있는 법정손해배상 제도도 활용할 수 있다.

대법원 판례에 따르면, 개인정보 유출로 인한 정신적 손해 발생 여부는 유출된 개인정보의 종류와 성격, 정보주체 식별 가능성, 제3자의 열람 여부 또는 가능성, 유출된 개인정보의 확산 범위, 추가적인 법익침해 가능성, 개인정보 관리 실태와 유출 경위, 피해 발생 및 확산 방지를 위한 조치 등 여러 사정을 종합적으로 고려하여 판단된다.

SK텔레콤의 경우, 유출된 정보가 IMSI뿐만 아니라 IMEI, 이름, 생년월일, 전화번호, 이메일 등 다양한 개인정보를 포함하고 있다면, 정보주체 식별 가능성과 추가적인 법익침해 가능성이 높아 상당한 손해배상액이 인정될 가능성이 있다. 특히 SK텔레콤이 국내 1위 통신사업자로서 개인정보 보호에 더 높은 주의의무가 요구된다는 점이 고려될 수 있다.

이에 따라 법정손해배상 청구 시 개인별로 50만 원에서 100만 원, 일반 손해배상 청구 시에는 유출 정보의 민감성과 피해 가능성을 고려해 30만 원에서 80만 원, 만약 IMEI와 추가 개인정보가 함께 유출되어 복제 폰 제작 등 2차 피해 가능성이 높아진 경우에는 최대 200만 원까지 배상액이 책정될 수 있다.

만약 2,695만 명의 피해자 전체가 소송에 참여하고 최소 예상액인 30만 원씩 배상받는다고 가정해도 총배상액은 약 8조에 달하며, 징벌적 손해배상이 적용될 경우 이론적으로는 최대 134조를 훌쩍 넘길 수 있다는 관측도 나온다.

국가정보원은 중앙행정기관, 지방자치단체, 공공기관을 대상으로 별도의 점검을 시행 중이며, 현재까지 민간 및 공공 분야에서 피해가 공식적으로 신고된 사례는 없는 것으로 알려졌다.