[시사뉴스 홍경의 기자] SK텔레콤이 해킹 사고를 이유로 계약을 해지한 가입자의 위약금을 면제해 줘야 한다는 판단이 나왔다.

과학기술정보통신부는 4일 진행한 민관합동조사단 결과 발표에서 “이번 침해 사고가 이용자의 위약금 면제에 해당하는 SK텔레콤의 귀책사유로 판단된다”고 밝혔다.

조사 결과 해커는 2021년 8월 6일부터 SK텔레콤 서버에 악성 코드를 심었다. 총 28개 서버가 공격을 받았고 33개 악성 코드가 심겼다. 이로 인해 유심 정보 25종이 유출됐다. 규모는 9.82GB에 해당한다.

조사단에 따르면 SK텔레콤은 계정 관리가 부실했고, 과거 침해 사고 대응이 미흡했던 데다, 암호화 조치도 부족했던 문제 등이 드러났다.

과기정통부는 SK텔레콤이 일반적으로 기대하는 사업자의 주의 의무를 다하지 않고 관련 법령이 정한 기준을 준수하지 않아 과실이 있다고 판단했다. 계약 상 통신 서비스를 제공하는 데 있어서도 주된 의무를 위반한 것으로 봤다.

SK텔레콤 이용 약관 제43조에는 사업자 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.

SK텔레콤이 이용자와 체결한 계약은 관련 법령 상 단순히 통신 연결만 제공하는 것이 아닌, '안전한 통신 서비스를 제공하는 것'을 의미한다고 해석했다.

유심 정보는 이동통신망에 접속하고 안전하고 신뢰할 수 있는 통신 서비스를 위한 필수적이고 핵심적인 요소다. 이 정보가 유출될 경우 제3자가 통신 서비스를 이용할 수 있는 위험 상황이 발생할 수 있다.

정보유출 당시 SK텔레콤은 유심 정보 보호를 위해 부정사용방지시스템(FDS) 1.0과 유심 보호 서비스를 운영하고 있었지만 유심 보호 서비스에는 약 5만명만 가입했고 FDS 1.0은 유심 정보 유출로 인한 모든 유심 복제 가능성을 차단하는 데는 한계가 있었던 상황이었다.

이에 과기정통부는 SK텔레콤이 유심 정보를 침해 사고로부터 보호해서 안전한 통신 서비스를 제공(주된 채무)할 의무를 다하지 못한 것으로 판단했다.

위약금 면제 여부와 관련해 과기정통부는 5개 법무 법인에도 자문을 얻었다. 5곳 중 4곳의 법무 법인이 이번 침해 사고를 SK텔레콤의 과실로 판단했다. 유심정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반한 것으로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 한 곳은 현재 자료로 판단이 어렵다고 판단을 유보했다.

과기정통부는 침해 사고에 SK텔레콤의 과실이 발견됐고, 계약 상 주된 의무인 안전한 통신 서비스 제공 의무를 다하지 못했다는 점을 고려, 이번 침해 사고는 이용자의 위약금 면제에 해당하는 귀책사유라고 최종 결론을 내렸다.