[서울=뉴스핌] 양태훈 기자 = 정부가 SK텔레콤의 유심 해킹 사고에 대해 '사업자의 귀책사유가 명확하다'고 판단한 가운데, SK텔레콤은 피해 책임을 인정하고 대국민 사과와 함께, 향후 5년간 7,000억 원을 투입하는 '정보보호 혁신안'과 5,000억 원 규모의 '고객 감사 패키지'를 포함해 총 1조 2,000억 원 규모의 보상 및 보안 강화 대책을 발표했다.

4일 과학기술정보통신부(이하 과기정통부)는 이날 오후 2시 정부서울청사에서 민관합동조사단의 최종 조사 결과를 발표하고 "SK텔레콤은 통신서비스 사업자로서 이용자 보호에 필요한 주의의무를 다하지 않았으며, 계약상 주된 채무인 '안전한 통신서비스 제공' 의무를 위반했다"고 밝혔다.

류제명 과기정통부 제2차관은 브리핑에서 "이번 사고는 유심정보 유출로 인한 피해 가능성이 매우 컸으며, SK텔레콤의 보안 체계는 장기간 구조적으로 취약했다"고 지적했다. 과기정통부에 따르면 SK텔레콤은 2021년 8월 시작된 악성코드 침투 사실을 2025년까지 인지하지 못했으며, 일부 사고는 2022년 확인했음에도 당국에 신고하지 않은 것으로 드러났다.

이에 정부는 SK텔레콤의 귀책사유가 명백하다는 판단에 따라, 통신 계약 해지 시 고객에게 부과되는 위약금을 면제해야 한다는 입장을 밝혔다. 만약 이를 이행하지 않을 경우, 전기통신사업법에 따른 시정명령 또는 등록취소 등 행정 조치를 검토할 수 있다고 경고했다. 민관합동조사단은 피해자 범위를 2025년 4월 18일 24시까지로 설정하고, 이 시점 이후 해지한 약정 고객은 모두 위약금 면제 대상이라고 판단했다.

SK텔레콤은 같은 날 오후 4시 30분, 서울 중구 을지로 본사 수펙스홀에서 긴급 기자간담회를 열고 공식 입장을 발표했다. 유영상 SK텔레콤 대표는 "이번 침해사고에 대해 고객과 사회에 다시 한 번 진심으로 사과드린다"며 "고객 신뢰를 잃은 것은 뼈아픈 일이며, 이를 결코 가볍게 여기지 않겠다"고 밝혔다.

이어 "단기적인 실적 하락보다 중요한 것은 장기적으로 고객이 믿고 이용할 수 있는 회사로 다시 서는 것"이라며, "SK텔레콤이 보안이 강한 회사로 거듭날 수 있도록 전사적 혁신에 나서겠다"고 강조했다.

◆ 고객 2,400만명 대상 요금 감면·데이터 추가 제공

SK텔레콤은 '고객 감사 패키지'를 통해 2025년 7월 15일 기준 전체 SK텔레콤 및 알뜰폰망 이용 고객 약 2,400만 명에게 통신요금 50% 감면과 월 50GB 데이터 추가 제공을 실시한다. 요금 감면은 2025년 8월 한 달간 자동 적용되며, 별도 신청 없이 청구 요금에서 차감된다.

T멤버십 할인 혜택도 확대된다. SK텔레콤은 도미노피자, 파리바게뜨, 뚜레쥬르 등 제휴 브랜드에서 최대 60% 할인 혜택을 적용하는 릴레이 이벤트를 운영한다. 해당 프로그램은 기존 고객뿐 아니라 연말까지 신규 가입 고객도 동일하게 적용받는다.

유 대표는 "요금이 낮은 고객에게는 데이터 추가가, 요금이 높은 고객에게는 요금 감면 금액이 큰 만큼 실질적 형평성이 맞춰지도록 설계했다"며 "단순한 보상 이상의 의미를 담았다"고 설명했다. SK텔레콤은 침해사고로 해지한 고객의 재가입 시 멤버십 등급을 복구하고, 6개월 이내 환급 신청을 받는 등 추가 조치도 마련했다.

아울러 SK텔레콤은 2025년 4월 18일 24시 이후 해지했거나, 2025년 7월 14일까지 해지를 예정한 약정 고객에 대해 위약금을 전액 면제하기로 했다. 이미 납부한 위약금도 환급 대상이며, 신청은 2025년 7월 15일부터 T월드 앱과 고객센터, 대리점을 통해 가능하다. 신청 후 일주일 이내 계좌 입금이 이뤄진다. 

결합상품 이용 고객의 경우 모바일 요금에 해당하는 위약금만 면제 대상이며, IPTV·유선 결합 요금은 제외된다. 환급은 별도 마감 없이 진행되며, 정부 협조를 받아 해지 고객 대상 MMS 안내도 추진할 계획이다.

유영상 대표는 "위약금 면제는 회사로서도 매우 큰 재무적 결단이지만, 고객 신뢰를 회복하기 위해선 반드시 필요한 조치였다"며 "정부 발표 이후 긴급 이사회를 열어 격론 끝에 이 같은 결정을 내렸다. 이번 선택이 회사의 지속가능성과 주주가치 측면에서도 옳다고 판단했다"고 말했다.

◆ 정보보호에 5년간 7,000억원 투자…"보안으로 다시 증명할 것"

SK텔레콤은 향후 5년간 총 7,000억 원을 투입해 '정보보호 혁신안'을 실행한다. 핵심 내용은 CEO 직속 CISO조직 신설, 보안 전문 인력 150명 확보, 레드팀 운영, 제로트러스트 기반 체계 도입 등이다. 또한 정보보호 기금 100억 원을 조성해 산학협력과 스타트업 지원에도 나설 예정이다.

유 대표는 "이번 사태는 조직 문화와 내부 프로세스 전반을 되돌아보게 했다"며 "SK텔레콤이 다시 신뢰받는 기업이 되기 위해 보안을 최우선 가치로 삼고, 글로벌 최고 수준으로 도약하겠다"고 강조했다.

또한, SK텔레콤은 모바일 단말 보안 강화를 위해 글로벌 보안 솔루션 '짐페리움(Zimperium)'을 전 고객에게 1년간 무상 제공하고, 유심 복제 피해 발생 시 보상 절차를 지원하는 '사이버 침해 보상 보증 제도'도 함께 도입할 방침이다. 사이버 보험 한도는 기존 10억 원에서 1,000억 원으로 대폭 상향된다.

유 대표는 "AI가 SK텔레콤의 미래라는 전략은 변함없다. 선택과 집중을 통해 AI 투자도 지속하겠다"며 "AI 데이터센터 구축과 같은 인프라 투자는 계속 확대할 계획"이라고 전했다.

이어 "고객에게 신뢰받지 못한다면 어떤 미래 전략도 무의미하다"며 "이번 결정은 단기 수익보다 장기 생존을 위한 선택"이라고 덧붙였다.

◆ "2022년 사고 은폐 의도 없었다…내부 보고 체계 미비"

SK텔레콤은 2022년 침해사고 당시 악성코드 존재를 인지하고도 정부에 신고하지 않았다는 지적에 대해 유감을 표명했다.

유 대표는 "해당 부서가 자체 판단으로 긴급 대응한 후 개인정보 유출이 없다고 판단했기 때문에 법적 신고 대상으로 인식하지 못한 것으로 보인다"며 "경영진에게도 보고되지 않았던 점은 명백히 SK텔레콤의 책임이다. 내부 대응 매뉴얼과 교육을 전면 보강해 재발을 방지하겠다"고 말했다.

류정환 SK텔레콤 네트워크 인프라 센터장 역시 "공급망 보안 측면에서도 일부 허점이 있었던 것으로 보인다"며 "정보보호 혁신안을 통해 프로세스 전반을 점검하고 개선하겠다"고 약속했다.

한편, 정부는 이번 발표에서 SK텔레콤이 계약상 의무를 명백히 위반했다고 판단했다. 특히 위약금 면제 조치를 이행하지 않을 경우, 전기통신사업법에 따라 시정명령이나 등록 취소 등 행정조치를 검토할 수 있다는 입장이다.

류제명 제2차관은 "SK텔레콤은 통신서비스 사업자로서 이용자 보호에 필요한 기본적인 주의의무를 다하지 않았으며, 계약상 주된 채무인 '안전한 통신서비스 제공' 의무를 위반한 것으로 판단했다"며 "이번 사고는 유심정보 유출로 인한 이용자 피해 가능성이 매우 컸으며, SK텔레콤의 보안 관리 체계는 장기간 허술했다"고 지적했다.

이에 유영상 대표는 "신뢰는 한순간에 얻어지지 않지만 무너진 신뢰는 몇 배의 노력이 필요하다"며 "보안으로 다시 증명하는 SK텔레콤이 되겠다"고 약속했다.

dconnect@newspim.com