SKT 개인정보 유출 사건 이후 집단분쟁조정제도를 통한 피해구제 절차가 개시될 예정이지만, 조사 병행에 따른 구조적 한계와 제도 실효성 문제가 다시 제기되고 있다. 약 2500만 명에 달하는 가입자 유심 정보가 유출된 이번 사고는 통신망 기반 인프라에 대한 신뢰를 심각하게 훼손했다.

개인정보보호위원회에 따르면, 올해 4월까지 누적된 개인정보 유출 건수는 약 3600만 건으로, 전년 대비 2.6배 증가했다. 이 중 SK텔레콤 사고가 전체의 70%에 달해 단일 사고가 전체 통계에 미치는 영향이 큰 것으로 나타났다. 위원회는 이번 사고를 ‘AI 시대 신뢰 인프라 훼손 사건’으로 규정하고 안전관리체계 전반에 대한 점검을 예고한 상태다.

해킹 공격은 4월 18일 오후 6시 9분 SKT 네트워크 인프라센터에서 트래픽 이상이 탐지되면서 시작됐다. 당일 밤 과금분석장비에서 비정상 로그와 파일 삭제 흔적이 발견되었고, 4월 19일 자정 무렵 악성코드 활동이 확인되었다. 같은 날 오후 11시경 SKT 내부에서 유심 정보 유출 사실이 최종 확인됐다. 유출된 정보는 전화번호, IMSI, Ki 등 통신 인증을 위한 핵심 항목으로, 유심 복제나 비인가 접속 가능성까지 제기됐다.

공격 수법은 리눅스 기반 백도어 ‘BPFDoor’로 확인됐으며, 방화벽 우회를 통해 탐지를 회피하는 방식이 사용됐다. 민관 합동 조사단은 공격 배후로 중국계 해커 조직을 지목했으나, 오픈소스 기반 도구 사용 특성상 확인에는 시간이 소요될 것으로 보인다.

이 사건과 관련해 지난 5월 14일 집단분쟁조정 신청이 접수되었으며, 개인정보분쟁조정위원회는 신청서류 보정을 요청한 뒤 전체회의에서 개시 여부를 결정할 예정이다. 조정 개시 후에는 14일 간 공고를 통해 추가 참가 신청이 가능하다. 다만 개인정보위원회의 조사 기간 동안에는 조정 절차가 일시 정지되며, 조사·처분 완료 후 재개된다.

집단분쟁조정제도는 피해자들의 소송 부담을 줄이기 위한 수단으로 마련됐으나, 조사와 조정이 병행되지 않는 현 구조에서는 피해 구제가 지연될 수밖에 없다. 특히 SKT처럼 피해 규모가 크고 기술적 쟁점이 복잡한 사건의 경우, 정부 조사가 장기화되면 실질적인 보상까지 수개월 이상 소요될 가능성이 있다.

과거 사례 분석도 제한적이다. 카카오 데이터센터 화재 사건 등에서 신청자 대비 조정 수락률, 평균 보상액 등 구체적 성과 지표는 공개되지 않았으며, 제도 이용자들이 판단할 수 있는 정보도 부족하다. 또한 공고기간 중 추가 참여 절차나 필요 서류에 대한 안내도 충분하지 않아 실질적인 접근성에 제약이 있다.

법원 집단소송과 비교하면, 조정제도는 상대적으로 유연하고 간편하지만 법적 구속력이 없다는 점에서 한계가 있다. 당사자 일방이 불수락할 경우 조정은 성립되지 않으며, 이는 피해자 입장에서 구제 확실성을 낮추는 요소다.

이번 사건은 단순한 개인정보 유출을 넘어 국가 핵심 통신망에 대한 위협으로 작용한 만큼, 단기적 보상 문제를 넘어서 정보보호 체계 전반의 재설계가 필요하다는 지적도 나온다. 정부는 사고 조사와 함께 제도적 정비 계획을 검토 중이며, 피해자 구제와 인프라 보안 강화를 병행하는 후속 대응이 주목된다.  /이승현 기자