SK텔레콤(SKT)이 유심(USIM) 정보 유출 해킹 사고를 둘러싸고 초동 대응부터 사후 조치까지 총체적인 부실을 드러냈다. 해킹 사실을 인지하고도 신고를 늦춘 데다, 2800만명 가입자에게 제대로 통보하지 않았고, 뒤늦게 내놓은 대응책은 불안을 해소하기에는 턱없이 부족했다. 급히 약속한 무상 유심 교체조차 현장에서 제대로 이행되지 못하며, 사태는 악화 일로를 걷고 있다.

① 해킹 징후 감지했지만 신고는 늦었다?

SK텔레콤은 4월 18일 오후 6시 9분, 내부 시스템에서 이상 징후를 감지했고, 밤 11시 20분 해킹 사실을 확인했다. 그러나 한국인터넷진흥원(KISA)에 사건을 신고한 것은 이틀이 지난 20일 오후였다. 정보통신망법이 규정한 '24시간 내 신고' 의무를 명백히 어긴 것이다. SKT는 "악성코드 발견 시점을 기준으로 신고했다"고 해명했지만, 신고 지연은 고의 여부와 관계없이 법적 책임을 피할 수 없다. 초동 대응 단계부터 투명성 대신 통제를 선택한 셈이다.

② 2800만명 유심 유출…광고문자는 퍼붓고, 해킹 안내문자는 '깜깜'

해킹 사실을 공식 확인한 SK텔레콤은 2800만명에 달하는 가입자 개인정보가 위험에 노출됐음에도, 가입자 보호에 필요한 기본 조치조차 제대로 취하지 않았다. 공식 홈페이지와 자사 앱(T월드)에 공지를 올리는 데 그쳤고, 가입자들에게 직접적인 알림은 전혀 전달하지 않았다.

문자메시지, 알림톡, 앱 푸시 등 다양한 통신 수단을 통해 평소에는 요금제 변경, 프로모션, 신상품 광고를 적극적으로 알리던 SK텔레콤이었다. 그러나 이번처럼 고객 생명선인 개인정보가 유출된 중대 사안에서는 이상할 만큼 조용했다. 고객들에게 해킹 사실을 통보하고 경각심을 일깨우는 대신, 공지만 게시한 채 "아는 사람만 알라"는 식의 태도를 취한 것이다.

특히 디지털 소외계층과 고령 가입자들은 스마트폰 앱이나 홈페이지에 접근할 가능성이 극히 낮다. SK텔레콤은 이 점을 충분히 인지하고 있었음에도, 공지사항만으로 고객 고지를 갈음했다. 이는 사실상 상당수 가입자들을 정보 사각지대에 방치한 것이나 다름없었다.

이 과정에서 SK텔레콤은 고객의 자율적 대응 기회를 완전히 박탈했다. 개인정보 유출 사실을 제때 알았다면, 고객들은 유심 교체나 금융보안 강화 조치 등을 서둘러 취할 수 있었을 것이다. 그러나 SK텔레콤의 무대응은 피해 확산 가능성을 방치하는 결과를 초래했다.

이용자들은 "이 정도 사태면 문자 한 통쯤은 보냈어야 했다", "광고는 그렇게 퍼붓더니, 정작 개인정보 유출은 숨겼다"며 강한 분노를 터뜨렸다. 일부 커뮤니티에서는 "SK텔레콤은 고객을 요금납부 수단 정도로밖에 보지 않는다"는 냉소까지 쏟아졌다.

③ 실효성 없는 대책과 고객에게 비용전가

여론이 들끓자 SK텔레콤은 23일부터 ‘유심 보호 서비스’ 가입을 권장하는 문자를 발송했다. 그러나 이미 유심 고유식별번호가 유출된 상황에서 이 서비스는 본질적인 해결책이 될 수 없었다. 침입을 허용한 뒤 문단속을 강화하겠다는 격이었다.

불안을 이기지 못한 일부 고객들은 대리점을 찾아 직접 유심을 교체했다. 문제는 이 과정에서 고객들이 유심 교체 비용 7700원을 자비로 부담해야 했다는 점이다. 가족 단위로 여러 회선을 사용하는 경우 수만 원이 들었고, 대리점 대기 시간까지 감수해야 했다. 명백히 SK텔레콤의 과실로 발생한 사고였지만, 복구 비용과 시간 소모는 고스란히 고객이 떠안아야 했다.

고객은 개인정보 유출이라는 일차 피해에 더해, 추가 비용 부담이라는 이차 피해까지 감내해야 했다. 

④ 무상 유심 교체 약속…현장은 대혼란

비판이 거세지자 SK텔레콤은 전 고객 대상 무상 유심 교체를 발표했다. 그러나 약속은 준비되지 않은 선언에 불과했다. 대리점마다 유심 재고가 바닥났고, "네 곳을 돌았지만 헛걸음쳤다", "언제 물량이 들어올지 모른다"는 불만이 쏟아졌다. 고객들은 무상 교체를 믿고 대리점을 찾았지만, 준비되지 않은 SK텔레콤의 대응에 다시 한번 실망했다. 약속은 지켜지지 않았고, 고객 불신은 더욱 깊어졌다.

⑤ 해킹 본질 규명 없이"2차 피해 없다"?

무엇보다 심각한 것은 해킹 사고의 본질이 여전히 규명되지 않았다는 점이다. 해커의 침입 경로, 유출 정보의 범위, 피해 규모 모두 SK텔레콤은 명확히 밝히지 못하고 있다. "2차 피해는 없다"는 주장은 근거 없는 낙관일 뿐이다. 실제로 일부 이용자들은 국내 번호를 위장한 해외 피싱 전화를 받았다고 증언하고 있다. 피해는 이미 현실화하고 있다.

이번 사태는 단순한 해킹 사고가 아니다. SK텔레콤은 위기의 모든 국면에서 실패했다. 신속한 신고, 투명한 통보, 실질적 대책, 준비된 사후관리  어느 하나 제대로 이행된 것이 없다. 해킹 자체는 불가항력일 수 있다. 그러나 해킹 이후의 대응은 순전히 기업의 의지와 능력 문제다. SK텔레콤은 이 시험대에서 처참히 무너졌다. SK텔레콤은 이번 사태를 통해 유심 정보만 잃은 것이 아니다. 고객 신뢰와 기업으로서의 최소한의 명예까지 스스로 무너뜨렸다.