통신사 해킹 소비자에 수천 억 배상·과징금
T모바일, 해킹 피해 소비자에 4600억 원 배상
카카오 ‘오픈채팅’ 개인정보 유출 151억 원 배상
SKT 과징금, 카카오보다 높아질 듯
법무법인들 집단소송…1인당 50만원 청구도

법무법인 대륜 변호사들이 1일 SKT 해킹 사태와 관련해 서울 남대문경찰서에 유영상 SKT 대표이사와 SKT를 상대로 업무상 배임·위계공무집행방해 혐의 고소·고발장을 제출하기에 앞서 입장을 밝히고 있다.연합뉴스

SK텔레콤의 유심 해킹으로 전국민적 비난이 쏟아지고 있는 가운데 과거 대규모 고객 정보 유출을 겪은 미국 통신사들의 거액 배상 사례가 주목받고 있다. 국내 법무법인들의 SK텔레콤에 대한 집단 소송도 줄을 이을 전망이다.

1일 국회 등에 따르면 과학기술정보방송통신위원회는 오는 8일 SK텔레콤 유심 해킹 사건을 다루는 청문회를 열기로 하고 최태원 SK그룹 회장을 증인으로 채택했다.

2020년대 들어 고객 정보 유출 사고가 발생한 미국 지역 대형 통신사로는 T모바일, AT&T 등이 있다.

미국 3대 이동통신사 중 하나인 T모바일은 2021년 전·현 고객과 잠재적 고객 7660만 명 이상의 이름, 생년월일, 사회보장번호, 운전면허증 번호 등이 포함된 신용조회 데이터가 대거 유출돼 파문이 일었다.

이 중 고객 85만 명은 계정 비밀번호(PIN)까지 노출돼 회사가 강제 초기화 조치를 취하기도 했다.

T모바일은 공격 사실을 알림과 동시에 모든 고객에게 이메일과 문자 알림을 발송하고, 피해 여부와 관계 없이 2년간 맥아피의 보안 서비스를 무료로 제공하기로 했다.

이에 소비자들은 법원에 T모바일을 상대로 소송을 제기했고, T모바일은 소비자에게 3억 5000만 달러(약 4590억 원)를 배상하기로 합의했다. 이에 따라 T모바일 고객들은 피해 규모에 따라 1인당 최대 2만 5000달러(약 3200만 원)의 보상을 받게 됐다.

T모바일은 이와 별개로 2023년까지 1억 5000만 달러(약 2000억 원)를 자사 사이버 보안 분야에 투입하기로 했다.

점유율 기준 미국 1위 통신사 AT&T도 여러 차례 고객 정보 유출 사건에 휘말렸다.

AT&T는 2023년 외주 마케팅 업체 클라우드 저장소에서 고객 890만 명의 이름, 무선전화 번호, 회선 수, 통화량, 요금제 등이 담긴 고객 독점 네트워크 정보(CPNI)가 유출됐다. 이에 AT&T는 미국 연방통신위원회(FCC)에 1300만 달러(약 170억 원) 규모의 과징금을 지불해야 했다.

AT&T는 이듬해에는 고객 1억 900만 명 가량의 통화·문자 기록 등이 해킹 당한 것으로 드러나 파문이 일었다. 피해 규모는 2022년 5월부터 10월 사이 생성된 전체 고객의 통화·문자기록 등으로, 당시 AT&T는 해커와의 협상을 통해 37만 달러(약 5억 5000만 원)를 지급하고 데이터를 삭제했다.

AT&T는 이보다 앞선 작년 3월에도 약 760만 개의 현재 계정 사용자와 약 6540만 명의 과거 고객 개인 데이터가 다크웹으로 유출됐다고 밝힌 바 있다.

AT&T는 지난해 발생한 이들 사건으로 FCC 조사를 받고 있으며, 텍사스·캘리포니아주를 비롯한 미국 내 각 주에서 20여 건의 개별 및 집단 소송을 진행하고 있다.

반면 한국의 경우 개인정보 대량 유출 사고에 대한 과징금 규모가 작아 일벌백계가 필요하다는 지적이 끊임없이 나오고 있다.

개인정보보호위원회는 2023년 7월 해킹 공격으로 약 30만 건의 고객 정보를 유출한 LG유플러스에 68억 원의 과징금을 부과했다.

카카오는 지난해 카카오톡 오픈채팅 기능의 보안 취약점으로 이용자 개인정보 6만 5000건이 유출된 것과 관련해 151억 원의 과징금을 물었는데, 이는 기업에 부과된 개인정보 유출 관련 과징금 액수 중 역대 최고치다.

올해 초에는 실내 스크린골프 기업 골프존이 고객과 임직원 개인정보 221만여 건이 다크웹에 유출된 사고로 75억 원의 과징금을 내게 됐다.

이런 가운데 SKT 사태에 내려질 과징금 규모에도 관심이 쏠린다.

개인정보보호위원회 최장혁 부위원장은 지난달 29일 정례 브리핑에서 “기본적으로 LG 유플러스(개인정보 유출) 때와는 차원이 많이 다를 것”이라며 더 높은 액수의 과징금 부과 가능성을 시사했다.

2023년 9월 개정된 개인정보보호법은 과징금 상한액을 ‘위법행위와 관련된 매출액의 3%’에서 ‘전체 매출액의 3%’로 조정하되 위반행위와 관련 없는 매출액은 제외하도록 했다. 기업이 직접 위반 행위와 관련 없는 매출액을 증명해야 하기에 과징금 부담이 커졌다는 분석이 나온다.

이번 SK텔레콤 해킹 사태와 관련, 소송도 잇따르고 있다.

1일 법조계에 따르면 로피드법률사무소는 지난 30일 서울중앙지방법원에 SK텔레콤을 상대로 1인당 50만 원의 위자료 지급을 청구하는 지급명령 신청서를 제출했다.

앞서 집단소송 전문 네트워크 로펌 법무법인 로집사는 지난달 28일부터 피해자 모집에 나섰고 29일에는 법무법인 대륜이 ‘SKT 개인정보 유출 피해자 집단소송’ 절차를 공식화했다. 대륜은 1일 서울 남대문경찰서에 SK텔레콤에 대한 형사 고소·고발장을 공식 제출했다.

경찰도 수사에 본격 착수했다. 서울경찰청 사이버수사과는 SK텔레콤 유심 정보 해킹 사건을 내사 단계에서 정식 수사로 전환하고, 사이버수사과장을 팀장으로 한 22명 규모의 전담수사팀을 꾸려 수사에 들어갔다.

배동진 기자 djbae@busan.com