[디지털데일리 강소현 오병훈기자] “고객의 소중한 정보를 보호해야할 책무가 있는 기간통신사업자로서 임직원 모두가 이번 사고에 대한 깊은 책임을 통감하며 사고 수습과 고객 보호 조치에 모든 역량을 집중하겠습니다.”

유영상 SK텔레콤 대표<사진>가 30일 최근 발생한 유심(USIM) 해킹사태와 관련해 재차 사과했다. “통신 역사상 최악의 사고”라는데 인정하면서, 유심보호서비스 가입 여부와 상관없이 모든 피해 발생 시 100% 보상하겠다는 의지를 밝혔다.

국회 과학기술정보통신위원회(이하 과방위)도 소관 상임위로서 국민의 2차 피해를 방지하기 위해 나섰다. 사고 이후 대응 현황과 대책을 논의하기 위해 마련된 자리이지만, 시기상 1차 조사결과밖에 나오지 않은 탓에 논의는 SK텔레콤의 ‘위약금 면제’ 여부를 확답받는 데 집중되어 아쉬웠다는 평가다.

◆ 사고 10일만에 안내문자 발송 완료·…후속조치 부실 지적돼

이날 국회 과방위는 최근 발생한 SK텔레콤의 유심(USIM) 해킹사고와 관련, 구체적인 사고 경위와 대응 현황을 파악하기 위한 청문회를 열었다.

앞서 SK텔레콤에서 사내 시스템이 해킹되는 사고가 발생했다. 이 과정에서 고객의 유심 관련 정보 역시 일부 유출된 정황이 발견돼 가입자들의 우려를 키웠다.

청문회에서는 SK텔레콤의 후속조치가 부실했다는 지적이 이어졌다. 사고 직후 한국인터넷진흥원(KISA) 신고는 늦어졌고, 사고 대응을 위한 안내문자 발송은 지연됐다.

특히, 2차 피해를 막기 위한 유심보호서비스 가입 안내 문자는 지난 29일에서야 모든 고객들에 발송된 것으로 알려졌다. 사고 발생일로부터 이미 10일이 지난 시점이다.

무상 교체해 주겠다던 유심은 정작 재고 부족으로 이용자에 혼선을 야기한 부분도 지적됐다. 2500만명 규모의 SK텔레콤 이용자 모두가 유심을 교체한다면, 물량이 턱없이 부족한 상황이다. 현재 확보돼 있는 유심 100만개도 이미 소진된 것으로 알려졌다. 최소 2000만개 이상을 확보해야 하는 것이다.

급기야 최태원 SK그룹 회장을 포함한 SK그룹 사장·부사장단의 지난 17일 이후 유심 교체 내역을 제출할 것이 요구됐다. 유심 부족 사태 속 자사 임원들에 특혜가 있었는지를 확인하기 위한 것으로 풀이된다.

일각에선 대리점이 신규가입 고객에 유심을 우선 지급하고 있어 재고가 부족하다는 의혹이 제기된 가운데, 박정훈 의원(국민의힘)은 “현재 신규개통 단말기에도 유심을 사용하느라 이용자들의 교체 유심이 부족한 것 아니냐”고 질의했으며, 이해민 의원(조국혁신당)은 “해킹 사태 이후 삼성 갤럭시25 시리즈 신규 고객 보조금을 준다는 제보가 들어오고 있다”고 꼬집었다.

사물인터넷통신(IoT)과 관련한 대응이 미흡하다는 의견도 나왔다. 사물인터넷(IoT) 단말의 경우 이번 유심 무상교체 대상에서 제외됐지만, 관련한 별도의 대응책도 나오지 않은 상황이다.

김장겸 의원(국민의힘)은 “(SK텔레콤은) 차량 등 다양한 사물인터넷통신(IoT)에서도 통신 기능을 제공 중인데, 유심 정보가 빠져나가 복제가 이뤄지는 경우 큰 피해가 발생할 우려가 있다”라고 말했고, 유영상 대표는 “고객들에 유심보호서비스에 가입할 것을 최대한 권장하고 있다”라며 “B2B 고객들과도 (대응방안에 대해) 이야기하고 있다”고 말했다.

◆ 유심재고 확보하는데 최소 3개월…“해외 출국자에 최우선 공급”

이 같은 지적들에 대해 유 대표는 “사고 초동 대처에 대해 부족했던 점을 인정하고 겸허히 받아들이겠다”면서 “사고 수습과 고객 보호 조치에 모든 역량을 집중하겠다”고 말했다.

2차 피해를 막기 위한 추가 대응 방안들도 공유했다. 유 대표는 후속조치의 핵심인 유심 재고 확보와 관련해 기본적으로 유심 교체와 동일한 효과를 볼 수 있는 유심보호서비스 가입을 권고하는 한편, 유심보호서비스를 가입할 수 없는 해외 출국자에 유심을 최우선으로 공급하겠다고 밝혔다.

유심 재고를 확보하기까진 최소 3개월이 소요될 것으로 그는 예측했다. 현재 SK텔레콤에 유심을 공급하는 업체는 SK텔링크·탈레스·유비벨록스·엑스큐어 4개사로, 긴급 발주를 요청한 것으로 알려졌다. 내달까지 유심 600만개를 우선적으로 확보하고, 6월 말까지 500만개를 추가 확보한다는 방침이다.

유 대표는 5월 황금연휴를 앞두고 출국하는 고객이 30% 늘어날 것으로 예상되는 가운데, 공항로밍센터에 유심 무상교체를 위한 인력과 교체 장소도 확대하겠다고 말했다. 로밍 상태인 경우 유심보호서비스 가입이 불가한 가운데, 출국자를 우선적으로 유심을 지급하겠다는 구상이다.

유 대표는 또 신규 가입 고객보다 유심 교체를 원하는 기존 고객에게 먼저 유심을 제공하겠다고 약속했다.

유 대표는 “신규 단말기에 들어가는 유심칩 공급 등은 대리점 등에서 운영하는 입장에서는 영업도 해야 하는 부분”이라며 “저희가 영세 대리점에 영업하지 말라고 강제하기는 쉽지 않은 상황”이라고 전했다.

그는 또 “확인 결과 최태원 회장과 최창원 부회장 모두 유심 교체를 하지 않고 유심보호서비스를 신청해 이용 중인 상황으로 파악됐다”고 말했다.

◆ 이번 사고 예견됐나?…“정보보호 투자액 3사 중 꼴찌”

정보보호 투자액이 통신사 중 가장 적은 가운데, 이번 사고는 예견된 것이라는 비판도 나왔다.

이날 이훈기 의원(더불어민주당)이 제시한 자료에 따르면, 지난해 SK텔레콤의 정보보호 투자액은 600억원, KT는 1218억원, LG유플러스의 정보보호 투자액은 632억원이었다. 다만 SK브로드밴드를 포함하면 SK텔레콤의 정보보호 투자액은 867억원이다.

가입자 1명당 정보보호 투자액도 가장 적었다. 박정훈 의원에 따르면, 가입자 1명당 정보보호 투자액은 SK텔레콤 2400원, KT는 6700원, LG유플러스는 4000원 수준이었다.

이훈기 의원은 “SK텔레콤의 영업이익이 1조8000억원이다. KT와 LG유플러스의 영업이익을 합친 것보다 더 많은 영업이익을 내고 있다”라며 “하지만, 정보보호 투자액은 영업이익 대비 3.29%로, KT(15%)·LG유플러스(7.34%) 대비 가장 적었다. 정보보호 투자액에 소홀하니까 이런 사고가 생긴다고 볼 수밖에 없는 상황”이라고 지적했다.

이해민 의원도 “통신3사 중 SK텔레콤의 정보보호 투자액이 600억원으로 꼴찌”라며 “SK텔레콤은 최고정보보호책임자(CISO) 주관하에 몇 번이나 회의를 했느냐. 과기정통부는 최소 보안투자 투자액을 의무화해야 한다”고 말했다.

◆ 쟁점은 결국 ‘위약금 면제’…최태원 회장도 소환

이번 청문회에서 화력은 ‘위약금 면제’에 집중됐다. 여야는 이번 사고로 번호이동을 희망하는 모든 고객에 대해 위약금을 면제해줘야 한다며 목소리를 높였다.

청문회 도중 유 대표가 위약금 면제와 관련 “내부적으로 법률 및 이용약관 등을 종합적으로 살펴 검토하겠다”라며 신중한 입장을 보이면서 언쟁이 벌어지기도 했다.

특히, 최민희 과방위원장은 “약관상 해지를 원하는 고객에 대해 위약금 납부 의무가 면제된다”라며 “SK텔레콤 이용약관 44조에 따라 이용자 약관 해지 위약금을 면제해주는 것이 상식적인 판단아니냐”라고 목소리를 높였다.

급기야 최태원 SK그룹 회장도 소환됐다. 최민희 위원장은 유 대표에 “10분 휴정할테니 SK 내 최종 결정권자(최태원)와 통화하고 와라”라고 지시하기도 했다. 결국 국회 과방위는 이날 최 회장에 대한 증인 출석 요구안을 의결했다. 최 회장의 청문회 출석 여부는 아직 확인되지 않았다.

과기정통부는 위약금 면제와 관련해 이용약관 해석에 돌입한 것으로 전해졌다. 이날 오후 증인으로 출석한 유상임 과기정통부 장관은 "법무법인 관련 3곳에 요청한 상황"이라며 "결과는 아직 나오지 않았다"고 밝혔다.

한편, 이날 청문회는 전날(29일) 과기정통부의 1차 조사결과 발표 직후 진행된 탓에 이번 사고와 관련해 질의·답변하는데 한계가 있다는 지적이 잇따랐다. 조사가 진행 중으로 확인된 부분들이 극히 제한적인 탓이다.

과기정통부가 구성한 민관합동조사단은 침해사고 조사 과정에서 침투에 사용된 BPFDoor 계열의 악성코드 4종을 발견했다고 밝혔다. BPFDoor는 리눅스 운영체제(OS)에 내장된 네트워크 모니터링·필터기능을 수행하는 BPF(Berkeley Packet Filter)를 악용한 백도어(Backdoor)로, 은닉성이 높아 해커의 통신 내역을 탐지하기 어렵다는 특징이 있다.