“통신사에 강화된 의무 부과하고 어기면 존립 위협 수준 책임 지워야”

[보안뉴스 강현주 기자] “SK텔레콤뿐 아니라 KT나 LG유플러스도 해킹을 당해 고객정보가 유출된 것으로 나타나면 배임으로 고발할 것을 적극 검토할 겁니다.”

손계준 법무법인 대륜 기업법무그룹장은 26일 여의도에서 <보안뉴스> 기자와 만나 이렇게 밝혔다.

대륜은 지난 1일 유영상 SKT 대표와 보안 책임자를 업무상 배임 및 위계공무집행방해 혐의로 고발했다. 21일엔 남대문경찰서에서 고발인 조사에 응했다. 손 그룹장은 이 사건을 담당하는 변호사다.


▲손계준 법무법인 대륜 기업법무그룹장 [자료: 보안뉴스]

이번 사고를 계기로 SKT뿐 아니라 국내 통신사나 플랫폼 기업의 정보보호 역량에 대한 국민적 불안도 커진 상태다.

지난 21일 본지 최초 보도([단독] SKT 공격한 악성코드 BPF도어, KT 서버도 침투했나) 직후, 정부가 KT와 LG유플러스 등을 상대로 직접 조사에 전격 착수했다. 두 통신사 외에 네이버와 우아한형제들, 카카오, 쿠팡 등 플랫폼 기업들도 조사 대상이다.

손 그룹장은 “SKT 외 다른 기간통신사업자나 플랫폼 기업들도 해킹으로 고객정보가 유출된다면 고소·고발을 통해 책임을 묻겠다”며 “모두 기업의 사회적 책임이라는 면에서 같은 맥락”이라고 말했다.

그는 SKT가 정보보호 투자를 미흡하게 한 점에 대해 “그 자체로 위법은 아니지만 배임으로 볼 수 있다”고 밝혔다.

1위 사업자로서 정보보호와 투자비의 중요성을 잘 아는 SKT가 유심 정보 보관·활용 등 위탁사무를 처리하는 자로서 가입자들의 정보 보관 및 활용 사무를 게을리했다는 요지다. 이를 통해 자신의 이익을 최대화한 것으로 볼 수 있다는 설명이다.

실제로 한국인터넷진흥원(KISA) 정보보호공시에 따르면, SKT가 2024년 공시한 연간 정보보호 투자 금액은 유선 통신 자회사 SK브로드밴드와 합쳐 약 867억원이다. 이는 정보기술 투자액 대비 5.9% 수준으로, KT(6.4%)와 LG유플러스(6.6%)보다 낮은 수치다.

ISMS 등 정부 인증제도 통신사에겐 불충분...“의무 강화 필요”
미국 IANS 리서치에 따르면 지난해 미국 기업들의 정보보호 투자 비중은 13.2%다. 국내 세 통신사 모두 미국의 절반 이하다.

손 그룹장은 국내 정보보호 관련 법·제도 개선 필요성을 언급했다. “정부 인증 제도가 기업 보안 역량을 제대로 평가하지 못하고 사후 관리도 잘 된다는 점이 이번 사고로 드러났다”고 했다.

특히 2024년 7월 중소기업의 인증 취득 부담을 완화하기 위해 도입된 ‘ISMS·ISMS-P 간편인증제’ 등이 주요 통신사업자의 정보보호 태세를 확인하기엔 충분하지 않다는 것이다.

그는 “사후 처벌 중심에서 사전 예방 중심으로 패러다임 전환이 필요하다”며 “국가 핵심기반시설을 운영하는 통신사업자에는 일반 기업보다 강화된 의무를 부과하고, 위반할 경우 존립 위협 수준의 실효성 있는 제재를 가해야 한다”고 강조했다.

한편, 손 그룹장은 서울대 졸업 후 행정고시를 거쳐 공정거래위원회에서 10년간 근무했다. 이후 사법고시에 합격한 뒤 법무법인 광장을 거쳐, 현재 대륜 기업법무그룹장으로 근무중이다. 지난 2009년 공정위 재직 당시, 미국 퀄컴에게 거액의 과징금을 부과한 코드 분할 다중 접속(CDMA) 칩 리베이트 불공정거래 혐의 관련 제재 업무에 참여한 바 있다.

[강현주 기자(jjoo@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>