[비즈니스포스트] 고학수 개인정보보호위원회 위원장은 지난 21일 기자간담회에서 SK텔레콤 해킹 사태에 따른 이 업체 가입자들의 피해 상황과 관련해 "이미 피해가 어마어마하게 발생한 것"이라고 말했다.

반면, SK텔레콤은 지금도 "(해킹) 사고 발생 이후 피해 사례 0건 유지"라고 밝히고 있다. 유상임 과학기술정보통신부 장관은 5월 정례브리핑에서 "SK텔레콤도 피해자"라고 감쌌다.

국민 문해력을 시험하기에 충분하다.

통신 쪽을 30년 이상 담당한 기자의 이해력과 통찰력으로 볼 때, 모두 완전히 틀린 말은 아니다.

SK텔레콤 쪽 발표는 '단말기 복제 피해 발생 여부'에 국한해선 맞다. 단말기 복제 피해 사례가 아직까지는 신고된 게 없다는 뜻으로 축소해서 이해하면 된다.

고 위원장 발언은, SK텔레콤 가입자 등 정보주체 쪽에서는 자신의  개인정보가 유출된 것 자체로 이미 피해를 당한 것이니 100% 맞는 말이다.

유 장관 발언은, SK텔레콤이 '해킹을 당했으니' 맞다.

결국 발언의 앞뒤 맥락과 의도를 살피며 들어야 말 뜻을 제대로 이해할 수 있다는 얘기다.

SK텔레콤은 통신망에 대한 기술적 안전조치 노력을 게을리하다가 해커에게 뚫려 2500만 가입자에게 개인정보 유출 피해를 입혔다. 이어 위기 대응 능력의 부실을 드러내 가입자들을 불안하게 했고, 부실한 사후 대처로 가입자들을 오픈런을 하거나 대리점 앞에 줄을 섰다가 허탕을 치며 시간을 낭비하는 피해를 줬다.

고 위원장은 국민 개인정보 보호 정책과 제도 시행을 총괄하는 개인정보보호위 수장이다. 

유 장관은 통신 주무부처 수장이다. 과기정통부 통신산업 육성 정책을 두고는 '사업자 보호' 함정에 빠졌다는 지적이 나온지 오래다.

이런 점들을 모두 감안해 다시 정리해보자.

SK텔레콤 가입자들은 자신의 개인정보가 대거 유출됐을 것으로 추정되는 것으로 이미 어마어마한 피해를 당한 셈이다. 과기정통부 민관합동조사단 조사 결과, SK텔레콤 통신망은 이미 3년 전부터 뚫렸고, 이름·연락처·주소·단말기 고유번호 등 민감한 개인정보들이 담긴 서버(컴퓨터)들도 포함된 것으로 드러났다.

SK텔레콤도 피해자라는 것은 이 업체와 해커 사이에서만 성립된다.

SK텔레콤 가입자 쪽에서 보면, SK텔레콤은 가해자다.

가입자들의 개인정보를 억지로 수집했으면 잘 관리하다가 수집 목적이 끝난 시점에 깔끔하게 삭제해야 한다. 법적 책임이고, 가입자들에 대한 의무이자 예의다.

하지만 SK텔레콤은 가입자 개인정보 보호 노력을 게을리하다가 해커에게 탈취당했다. 기술적 안전조치를 게을리한 사실은 개인정보보호위 조사에서 이미 드러났다. 잘 관리할 자신이 없으면 수집하지도 말아야 했다. 법도 개인정보 수집을 허락했을 뿐 수집을 강제하지는 않았다.  
  그럼 SK텔레콤 가입자들의 2차 피해는? 아니 3차, 4차, 5차 피해는?

최근 불특정 다수의 교사가 '제21대 대선 국민의힘 임명장'이란 제목의 '교육특보 임명' 문자메시지를 받아 논란이 됐다. 문자에 담긴 누리집을 열면 '국민의힘 중앙선거대책위원회 조직총괄본부 시민소통본부 희망교육네트워크 교육특보에 임명함'이라는 내용과 함께 `국민의힘 대통령 후보' 직인이 찍혀있다.

한 교사는 비즈니스포스트에 문자 받은 사실을 제보하며 "나는 개인정보를 국민의힘 중앙선대위 쪽에 준 적이 없다. 그리고 교사는 공무원이라 정당 가입도 못하는데 무슨 특보 임명이냐"고 하소연했다. 이 교사는 이어 "나는 국민의힘과 그 쪽 대선후보를 지지하지도 않는다"며 "나를 어떻게 보고 특보 임명 문자를 보냈는지, 상당히 기분 나쁘다"고 말했다.

언론 보도를 보면, 꽤 많은 교사들이 이런 문자를 받은 것으로 알려졌다. 급기야 전국교직원노동조합은 수사기관에 교사 개인정보 유출 및 정치적 악용 혐의로 수사해줄 것을 요청했고, 국민의힘은 사과했다.

국민의힘은 이런 문자 발송 명단에 든 교사 이름과 연락처 등을 어디서 구했을까. 특히 어떻게 상대가 교사인줄 알고 교육특보 임명장을 보냈을까.

아직 수사 전이니 아무 것도 단정할 수 없다. 교사 개인정보를 관리하는 쪽의 서버를 해킹해 빼왔거나, 누군가가 빼온 것을 거래 같은 방식으로 건네받아 이용했을 수 있다는 가정은 해볼 수 있다. 요즘은 거의 모든 자료가 컴퓨터로 처리되는 점을 감안해 해킹의 개념을 넓히면, 개인정보 불법 탈취와 악용 행위 모두 해킹에 포함된다고 볼 수 있다.

결국 국민의힘 중앙선대위로부터 교육특보 문자를 받은 교사들은, 해킹을 통해 개인정보가 유출당하는 1차 피해, 유출된 개인정보가 거래 등의 방식으로 제3자에게 또 넘어가는 2차 피해, 넘어간 개인정보가 정치적인 목적으로 악용되는 3차 피해, 지지하지도 않는 정당과 대선후보로부터 특보 임명 문자를 받아 정신적으로 스트레스를 받는 4차 피해, 열 받고 항의하며 직접 삭제 요구까지 해야 하는 5차 피해까지 당한 셈이다. 제대로 삭제됐나 내지 또 악용되거나 하지는 않나 걱정하는 6차 피해까지도.

이뿐만이 아니다. 이동통신 가입자들이 수시로 받는 스팸 전화도 개인정보 유출 피해로 볼 수 있다. 나와 내 휴대전화번호를 어찌 알고, 휴대전화를 새 것으로 공짜로 바꿔줄테니 다른 통신사로 옮기라고 하고, 좋은 부동산 매물을 소개하고 싶다는 전화를 걸까. 내 개인정보를 수집해 갖고 있는 곳의 서버를 해킹해 빼갔거나, 누군가가 빼내온 것을 거래 등의 방식으로 넘겨받아 동의 없이 쓰고 있는 것이다.

정보 주체 쪽에서 보면, 2~6차 피해를 당한 셈이다.

SK텔레콤이 단말기 복제 신고 사례가 없다는 이유로 '2차 피해 0건'이라고 주장하는 게 얼마나 자기 눈 중심이고, 가입자들의 처지를 아랑곳하지 않는 행태인지는 단적으로 보여준다. SK텔레콤 통신망이 3년 전부터 뚫렸다고 하니, 요즘 SK텔레콤 가입자들에게 걸려오는 스팸 전화와 교육특보 문자 등이 SK텔레콤에서 유출된 개인정보를 악용하는 게 아니라고 단정할 수도 없다.

물론 국민의힘 교육특보 임명장 문자를 받은 교사들이 다 SK텔레콤 가입자는 아니다. 2년 전에는 LG유플러스 가입자들의 개인정보가 털렸고, 그 전에는 KT 가입자들의 개인정보가 유출됐다. LG유플러스·KT 가입자들 역시 1~6차 피해를 당했고, 지금도 진행 중이라고 볼 수 있는 셈이다.

혹은 무지해서, 아니면 너무나 자주 당해 피해라고 자각하지 못하거나 같이 먹고 살자며 그냥 넘어가주는 것일 뿐, 정보 주체 쪽에서 엄밀히 따지고 보면 모두 개인정보 유출로 발생하는 2차, 3차, 4차, 5차, 6차 피해에 해당한다. 단말기 복제, 계좌 탈취, 보이스피싱 같은 것만을 '2차 피해'로 간주해 피해 사례가 없다고 하는 것은 아주 잘못된 설명이다.

기업들이 해킹을 당할 때마다 "해킹이란 게 늘 있는 일"이라고 하거나 "2010년 전후로 유출된 주민번호 만도 6천만건이 없는다. 우리나라 인구가 5천만 정도라고 볼 때, 모든 국민의 개인정보가 다 유출됐다고 봐야 하는 것 아니냐"고 떠드는 것 역시 피해를 당한 가입자·고객들을 가스라이팅시키는 것이라고 볼 수 있다.
  때마침 법무법인 대륜이 SK텔레콤 해킹 사태 때 개인정보 유출 피해를 당한 가입자 1천여명을 대리해 회사 측을 상대로 단체 손해배상 청구 소송을 하기로 했다. 김국일 대표는 22일 기자회견을 열고 "SK텔레콤 가입자 1천여명을 대리해 1인당 100만원의 위자료를 지급하라는 소송을 제기할 계획"이라고 밝혔다.

김 대표는 "개인정보 보호는 국민 신뢰의 문제이자 기업의 기본 책무이고, 이 사건은 역대 최대 규모의 개인정보 유출 사고"라며 "장기간 해킹에 노출된 정황이 있으며, 피해자들은 유심 교체를 위해 생업을 제쳐두고 대리점을 방문하는 등 현실적인 불편을 겪었다"고 강조했다.

그는 "소송 신청자는 1만명 이상이지만 서류 취합까지 완료된 이들에 한해 우선 1차 소장을 접수하기로 했다"며 "2차 모집을 지속할 예정"이라고 설명했다.

우리나라에는 통신 쪽에는 징벌적 과징금이나 집단소송 제도가 도입돼 있지 않다. 사업자들이 반대해서다.

징벌적 과징금이란 법적 의무를 제대로 이행하지 않아 사회나 개인에게 엄청난 손해 등을 끼치는 경우 징벌 차원의 과징금 규모를 부과하는 것이다. 집단소송이란 한 사람의 소송 결과를 전체 피해자에게 적용하는 것이다. 도입돼 있었다면, SK텔레콤의 사례에 적용하기에 안성맞춤이다.

이에 SK텔레콤 가입자들이 단체 손해배상 소송에 적극적으로 참여해 집단소송 효과를 내야 한다는 지적도 나온다. 전례로 볼 때, SK텔레콤이 큰 대가를 치르지 않고 이번 사태를 넘기게 두면 학습 효과가 떨어져 앞으로도 정보보호 노력을 기대할 수 없으니 적극적으로 손해배상 소송에 참여해 집단소송 효과를 내야 한다는 것이다. 김재섭 선임기자