SK텔레콤, 해킹 후폭풍…보안 예산 줄였던 ‘인재’ 논란 확산

[더퍼블릭=이유정 기자] SK텔레콤이 해커의 악성코드 공격으로 고객 유심(USIM) 정보 유출 사고를 공식 확인한 가운데, 경영진의 보안 소홀 책임론이 확산되고 있다. 특히 지난해 정보보호 예산을 줄였다는 사실이 뒤늦게 알려지면서 업계와 시민단체의 비판이 불거지고 있다.

23일 관련 업계에 따르면, SK텔레콤은 지난 2023년 정보보호에 약 600억원을 투자했는데 이는 전년도(627억원) 대비 4% 감소한 수치다. 또한, KT(1218억원)와 LG유플러스(632억원)보다도 낮았다. 특히 KT는 전년 대비 19%, LG유플러스는 116%나 예산을 증액한 반면, SK텔레콤만 유일하게 투자를 줄였다.

이 같은 경영 기조에 대해 업계에서는 기술 중심 경영이 보안이라는 기본을 외면한 결과라는 비판이 제기된다. 앞서 SK텔레콤이 지난 19일 오후 11시경, 고객의 유심 관련 일부 정보가 유출된 정황을 인지했다고 밝힌 데 따른 것이다.

회사 측은 “악성코드 삭제 및 해킹 의심 장비 격리 조치를 완료했으며, 현재 전수 조사 중”이라고 설명했다.

업계는 이 같은 차이를 과거 해킹 경험 유무에서 찾는다. LG유플러스는 2023년 30만건 개인정보 유출 사고로 과징금 68억원을 부과받았고, KT도 2012년과 2014년 대규모 유출 사태를 겪으며 보안 예산을 지속적으로 확대했다. 반면 해킹 피해가 없던 SK텔레콤은 상대적으로 보안에 소홀했던 것으로 분석된다.

SK텔레콤은 같은 기간 인공지능(AI)·클라우드 등 신사업에는 공격적으로 투자해 왔다. 지난해 연구개발(R&D) 지출은 3928억원으로 KT(2117억원)와 LG유플러스(1426억원)를 크게 앞섰다. 최근 3년간 AI·클라우드 등에 쏟아부은 금액은 1조2000억원을 넘어섰다.

유영상 SK텔레콤 사장은 20일 긴급 임원회의를 소집해 전사적 대응을 지시했고, 22일 사내 메시지를 통해 “이번 사태에 깊은 유감과 책임을 느낀다”고 밝혔다.

그러나 SK텔레콤이 해킹 사고 이후에도 명확한 유출 규모나 피해 범위를 제시하지 못하면서 고객 불안은 가시지 않고 있다. 특히 유심 정보는 불법 유심 개통이나 보이스피싱, 대포폰 개설 등 범죄에 악용될 가능성이 높아 2차 피해 우려가 크다.

시민단체도 즉각 반응했다. 참여연대는 22일 성명을 통해 “중대한 범죄에 악용될 수 있는 심각한 사태”라며 “정부는 피해자 대표와 시민단체가 참여하는 대책반을 구성해 범정부 차원의 피해조사와 복구에 나서야 한다”고 촉구했다. 또 반복되는 개인정보 유출 사태를 막기 위해 ‘소비자 집단소송법’ 도입을 강력히 요구했다.

참여연대는 “SK텔레콤은 가입자와 국민에게 엄중히 사죄하고, 피해자 보호와 보상을 위한 모든 조치를 다해야 한다”며 “국회도 현안 질의를 통해 피해보상과 재발 방지 조치를 점검해야 한다”고 밝혔다.

현재 SK텔레콤은 후속 보완 조치와 함께 향후 보안 예산 증액을 검토 중인 것으로 알려졌다. 그러나 이미 사고가 발생한 상황에서 뒤늦은 대응이 얼마나 신뢰 회복으로 이어질 수 있을지는 미지수다.

이번 사태는 단순 기술적 결함이 아닌 경영진의 투자 판단 실패라는 지적 속에, 통신업계 전반의 보안 체계에 대한 근본적 재점검을 요구하는 목소리가 커지고 있다.

더퍼블릭 / 이유정 기자 leelyjwo@thepublic.kr