[ 김덕엽 칼럼니스트 ] 개인정보보호위원회가 SK텔레콤에 사상 최대 규모의 과징금 1347억 9100만원과 과태료 960만원을 부과했다는 사실만으로는 이 사안을 다 말했다고 할 수 없다.
감독기관이 역대 최대라는 수식어를 붙였다는 건 처벌의 무게보다 구조적 실패의 깊이를 시사한다. 숫자의 크기보다 중요한 것은, 왜 이런 초대형 유출이 가능했고 무엇을 고쳐야 재발을 막을 수 있는가다.
이번 사고의 본질은 외부의 정교한 공격만이 아니라 내부 통제의 장기적 붕괴다. 조사 결과를 보면 계정정보 파일이 암호 설정 없이 관리망 서버에 저장돼 있었고, 핵심 시스템에서는 비밀번호 입력 등 최소한의 인증 절차도 우회 가능했다.
해커가 악성코드를 심는 데 활용한 운영체제는 이미 수년 전부터 취약점 경보가 나와 있었지만 업데이트가 이뤄지지 않았다는 지적까지 나왔다. 한두 개의 실수가 아니라 보안 기본 원칙의 체계적 이탈이라는 뜻이다.
피해 규모 역시 가볍게 볼 수 없다. LTE·5G 전체 이용자에 해당하는 2,324만 4,649명의 정보 25종이 빠져나갔다는 구체적 수치가 제시됐다. 휴대전화번호, 가입자식별번호(IMSI) 같은 식별 정보는 물론, 유심 인증키(Ki·OPc)까지 포함된 것이 이번 사건의 치명성이다. 통신 인프라의 실물 열쇠에 해당하는 자산이 탈취됐다는 점에서 파장은 길고 깊을 수밖에 없다.
통지도 늦었다. 법은 유출 사실과 항목, 경위, 피해 최소화 방법을 신속·개별적으로 알리도록 요구하지만, 이번 건에서는 그 골든 타임이 훼손됐다는 비판을 피하기 어렵다. 이용자가 위험을 인지하고 2차 피해를 막을 시간을 빼앗긴 셈이며, 이는 기술적 부실 못지않은 신뢰 훼손이다.
물론 회사는 보완책을 내놨다. 5년간 7,000억 원 투자, 8월 한 달 통신요금 50% 할인, 전 이용자 대상 무상 USIM 교체 등이 그것이다. 그러나 보안은 ‘할인’으로 덮을 수 있는 영역이 아니다. 금액을 약속하는 것과 체계의 설계를 바꾸는 것은 전혀 다른 차원의 문제다.
투자 계획이 실효성을 가지려면 무엇을 언제까지 어떻게 바꿀지, 암호화·접근통제·패치·감사·대응훈련 같은 핵심 지표를 공개하고 외부 검증을 상시화해야 한다. 그렇지 않으면 PR은 남고 보안은 남지 않는다.
이번 제재를 ‘매출의 1% 남짓’이라며 가볍게 치부하는 목소리도 있지만, 진짜 무게추는 규제의 절대액이 아니라 기업 내부의 의사결정 구조에 놓인다. 최고경영진과 이사회가 개인정보보호·보안 리스크를 재무·법률 리스크와 동급의 전략 리스크로 받아들이도록 거버넌스를 갈아엎지 않으면, 과징금 납부가 끝나도 위기는 끝나지 않는다.
CPO와 CISO의 독립성과 보고라인을 CEO 및 이사회 리스크위원회로 끌어올리고, 예산·인력·우선순위를 보안 관점에서 재설계해야 한다. 유심 인증키 같은 핵심 자산의 상시 암호화와 HSM 도입, 운영체제·미들웨어·네트워크 장비의 패치 주기 공개와 외부 감리, 분기별 레드팀·상시 버그바운티, 유출 통지의 일 단위 모니터링과 위반 가중제재 같은 조치가 상식이 돼야 한다. 이는 선택이 아니라 인프라 산업의 공공성을 지키기 위한 최소 요건이다.
이용자에게도 즉시 할 일이 있다. 통신사가 제공하는 무상 USIM 교체를 서두르고, 개통·명의도용 차단 서비스를 신청하며, 2단계 인증을 문자에서 앱 기반 또는 OTP로 전환하는 것이 기본이다. 통신요금 부가서비스나 유심 재등록 알림을 켜 두고 수상한 로그인·변경 알림이 오면 비밀번호와 PIN을 바로 바꾸는 태세가 필요하다. 그러나 이러한 ‘개인 수칙’이 궁극의 해법일 수는 없다. 이용자에게 부담을 전가하지 않도록 기업과 정부의 구조 개선이 먼저 따라야 한다.
결국 이번 사건은 한 기업의 ‘불운’이 아니라 한국 통신 인프라 보안의 성숙도를 가늠하는 리트머스 시험지였다. 관리자 비밀번호조차 관리되지 않고 구형 운영체제가 방치된 채, 유출 통지까지 늦어지는 관행이 계속된다면 아무리 큰 사과와 보상도 신뢰를 되찾지 못한다.
과징금 고지서가 ‘마침표’가 되어선 안 된다. 지금 필요한 것은 보안이 비용이라는 낡은 믿음을 버리고, 개인정보 보호를 기업의 존재 이유이자 지속가능성의 전제로 재정의하는 일이다. 이 위기를 ‘거버넌스 리셋’으로 연결시키는 기업만이 다음 위기 앞에서도 서 있을 수 있다.
