투데이e코노믹 = 박재형 기자 | 이번 SK텔레콤 해킹 사고는 단순한 보안 침해를 넘어, 국내 최대 통신사업자의 책임과 대응 역량에 근본적인 의문을 던졌다. 해킹은 불가피할 수 있다. 그러나 그 이후의 대응이야말로 기업 신뢰의 본질을 가른다. SK텔레콤은 그 기본조차 지키지 못했다.

SK텔레콤은 지난 18일 오후 6시경 이상 징후를 포착했고, 같은 날 밤 11시 20분 해킹 사실을 내부적으로 확인했다. 문제는 여기서부터다. 관련 법령은 침해사고 인지 후 24시간 내에 과학기술정보통신부나 KISA(한국인터넷진흥원)에 신고하도록 명시하고 있지만, SK텔레콤이 실제로 신고한 것은 무려 20일 오후 4시 46분이었다. 규정상 신고 시점을 어긴 것이다.

SK텔레콤은 “정확한 원인과 피해 내용을 파악하기 위해 늦어졌다”고 해명했다. 그러나 이용자 2300만 명의 민감한 유심(USIM) 정보가 유출된 상황에서 신고 지연은 단순한 업무 지연이 아니라, 심각한 소비자 권리 침해다. 고의가 아니었다는 항변이 소비자들의 불안과 분노를 잠재울 수 있을까?

더욱 문제인 것은 이를 접수한 KISA의 대응이다. SK텔레콤의 신고 과정에서 해킹 인지 시점을 실제보다 40시간이나 늦게 수정해 기록한 사실이 드러났다. '의사소통 오류'라며 해명했지만, 이는 해킹 신고 지연을 덮으려 한 것 아니냐는 의심을 지우기 어렵다. 소비자 보호의 최전선에 있어야 할 당국이 오히려 기업의 허술한 대응을 '정정'해주는 모습은 충격적이다.

현장 대응 역시 부실했다. KISA가 관련 자료 보존 요구 공문을 발송한 것은 신고 접수 21시간 후였고, 현장 점검은 그보다 더 늦은 28시간 후였다. 실제 해킹이 발생한 분당 데이터 센터가 아닌 본사에서 '원격'으로 상황을 파악했다는 것도 납득하기 어렵다. 2300만 명의 '디지털 신분증'이 탈취됐을지도 모르는 상황에서 이 정도로 안일한 대응은 국민 안전을 뒷전에 둔 것이나 다름없다.

이번 사고로 SK텔레콤의 유심 보호 서비스 가입자 여부에 따라 추가 피해 가능성까지 제기되고 있다. 가입하지 않은 이용자들은 해커가 휴대전화 권한을 탈취할 위험에 노출돼 있다. 단순한 개인정보 유출을 넘어, 현실적인 금전적 피해로 이어질 수 있는 심각한 위협이다.

결국 이 같은 SK텔레콤의 늦장 대응은 현장의 혼돈으로 이어졌다.

언론 보도에 따르면 SK텔레콤 이용자들이 유심 무상 교체 시행 전에라도 보안 사고에 대한 불안감을 떨치지 못하면서 SK텔레콤 대리점 곳곳에 긴 줄이 늘어서면서 현장에 혼란을 가중시키고 있다. 주말 서울 등 전국 곳곳의 SK텔레콤 대리점에는 유심 교체를 하려는 가입자들이 몰렸다. 온라인 커뮤니티 등에는 유심 재고가 없어 발길을 돌렸다는 사연도 다수 올라오고 있다.

SK텔레콤은 국민적 신뢰를 기반으로 성장해온 기업이다. 그런 SK텔레콤이 침해사고 대응의 기본을 어기고, 투명성 대신 은폐 의혹을 자초했다는 사실은 매우 무겁게 받아들여야 한다. 빠른 해명과 사후 조치만으로는 부족하다. 사고 원인, 피해 규모, 대응 실패에 대한 철저한 조사가 이루어져야 하며, 이 과정에서 기업뿐만 아니라 책임 당국의 대응 역시 낱낱이 공개돼야 한다.

우리는 이번 사건을 계기로, 통신 인프라를 맡는 기업과 정부 기관이 국민 개인정보 보호에 대해 얼마나 진지한지 냉정하게 평가해야 한다. 신뢰는 한순간에 무너지고, 다시 쌓는 데는 긴 시간이 걸린다. SK텔레콤과 관련 기관은 이 점을 뼈저리게 깨달아야 한다.