“SKT 대응 미흡”… 국회, 개인정보 유출 신속 통지 논의

시사위크=조윤찬 기자  SKT 유심 해킹 사태 계기로 개인정보 유출 사실을 신속하게 통지하도록 법 개정이 진행 중이다. 앞서 SKT는 정부기관에 신고도 늦고, 가입자들에 대한 통지도 늦어 비판이 나왔다. 가입자들이 제때 대응하도록 하는 게 미흡해 보완할 필요가 있다.

◇ SKT, KISA 신고·가입자 통지 모두 늦어

현행 ‘정보통신망법’은 24시간 이내에 침해사고를 신고하도록 규정하고 있다. SKT는 지난 4월 18일 오후 11시 20분 해킹 공격을 내부에서 인지하고도 40시간이 넘은 4월 20일 오후 4시 46분 한국인터넷진흥원(KISA)에 신고했다.

SKT는 4월 22일에야 가입자들에게 홈페이지 공지를 통해 해킹 사실을 알렸다. ‘개인정보 보호법’ 34조는 개인정보가 유출되면 개인정보처리자는 인지했을 때 지체 없이 유출항목, 시점, 대응 조치 등을 정보 주체에 통지하도록 규정하고 있다. 시행령은 개인정보 유출을 인지하고 72시간 이내 정보 주체에 통지하도록 했다. 연락처를 알 수 없는 등의 경우에 홈페이지 공지를 할 수 있도록 예외사항을 뒀다.

SKT는 4월 18일 해킹을 인지한 이후 가입자별 통지까지 상당 기간이 소요됐다. SKT 가입자인 기자는 간략한 사이버 침해 사고 안내 문자는 4월 29일, 개인정보 유출 가능성 통지 문자는 5월 9일 받았다.

지난달 민관합동조사단의 2차 조사 결과에 따르면 SKT는 가입자 식별키(IMSI) 기준 2,695만7,749건의 유심정보가 유출됐다. SKT는 4월에도 전체 가입자 정보 유출을 가정해 대응하겠다고 밝혔지만, 개인정보 유출 가능성 통지는 늦었다.

최민희 더불어민주당 의원이 지난 19일 발의한 통신사 해킹방지 3법 ‘정보통신망법’, ‘디지털포용법’, ‘개인정보 보호법’ 개정안에는 사이버위협 대응 공약을 이행하는 내용이 담겼다. SKT 유심 해킹 사태로 드러난 문제들이 재발하지 않도록 방지하려는 취지다. 앞서 민주당은 사이버위협 대응 대선 공약에 △침해사고 발생 시 명확한 책임 부과 △개인정보 유출로 인한 중대 피해 예상 시 전국민 대상 즉시 공지 의무화 등을 넣었다.

◇ 통신사 해킹방지 3법, 침해사고 제때 대응하도록 보완

최 의원이 발의한 ‘정보통신망법’ 개정안에는 중대한 침해사고 발생 시 예보·경보·통지의 방법을 구체적으로 규정하고, 통신사의 신속한 피해구제 의무 부과, 침해사고 관련 의무 미이행에 대한 과태료 상향 등의 내용이 들어갔다. ‘개인정보 보호법’ 개정안은 개인정보 유출 규모가 대통령령으로 정한 기준 이상일 경우 모든 정보주체에게 개별 통지할 것을 의무화했다. 사업자의 책임있는 대응을 요구하는 법안이다.

최 의원은 “개별적 통지 없이 홈페이지에 간략한 안내만을 게시한 것은 본인의 개인정보 유출 여부를 신속히 파악하기 어렵게 하고, 적절한 대응조치를 취할 기회를 놓치게 만들어 추가적인 유출 위험에 취약하다는 지적이 있다”며 ‘개인정보 보호법’ 개정 이유를 설명했다.

해킹 이후 SKT는 온라인 유심 예약 시스템을 운영하며 가입자가 신청하도록 하고, 유심을 교체하려면 대리점에 방문하도록 했다. 유심보호서비스도 자동 가입 조치가 있기 전에는 온라인 신청을 받았다. 노인들은 유심보호서비스 가입을 위해 대리점에 가는 일도 생겼다. 대리점이 없는 지역도 있어, SKT는 각 지역에 임시 대리점을 설치하고 유심 교체에 나섰다.

침해사고에 대한 디지털취약계층 지원 필요성이 대두된다. 디지털취약계층을 지원하는 ‘디지털포용법’은 내년 1월 첫 시행될 예정이다. 최 의원은 디지털포용 기본계획에 침해사고 대응 항목을 포함하도록 하는 내용을 ‘디지털포용법’ 개정안에 넣었다.

SKT는 해킹 사태에 대한 보상안을 준비하는 중이다. 김희정 국민의힘 의원은 지난 19일 SKT 소비자권익 TF 회의에서 “SKT에 개별적이고 합리적인 보상안을 마련하도록 촉구했고, SKT는 적극적으로 검토해 합리적인 보상안을 마련하겠다고 답했다”고 밝혔다. SKT는 고객신뢰회복 위원회에서 신뢰회복 프로그램을 마련할 계획이다.