[뉴스웍스=박광하 기자] 정부가 SK텔레콤의 유심 정보 유출 사태 조사 결과 이번 사건이 사업자 과실로 인한 계약상 주된 의무 위반에 해당한다고 판단했다. 이에 따라 SK텔레콤 이용약관에 명시된 위약금 면제 규정을 적용, 피해 이용자들이 위약금 없이 해지할 수 있어야 하는 게 타당하다고 결론지었다.

과학기술정보통신부는 4일 이번 사건에 대한 조사 결과를 발표하면서 이 같은 판단을 내놨다. 이번 결정은 SK텔레콤의 이용약관 제43조에 따라 사업자 귀책 사유로 이용자가 서비스를 해지할 때 위약금을 면제하도록 한 규정을 적용한 것이다.

과기정통부는 지난 6월 26일부터 7월 2일까지 5개 기관의 법률 자문을 의뢰했고, 이들 기관은 이번 침해사고를 SK텔레콤의 과실이라고 판단했다. 이들은 고객 유심(USIM) 정보 유출은 안전한 통신 서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

조사 결과 SK텔레콤에는 부실한 계정 관리, 과거 침해 사고 대응 미흡, 암호화 조치 미흡 등 문제가 있었으며, 관련 법령 위반 사실도 확인됐다. SK텔레콤은 일반적으로 기대되는 선량한 관리자의 주의 의무(선관주의의무)를 다하지 못했고, 관련 법령이 정한 기준 또한 준수하지 않은 등 과실이 있다는 결론이다.

선관주의의무는 법령에서 정한 최소한의 주의가 아니라, 해당 업계의 통상적인 관리 수준이나 대응 활동을 기준으로 한다. 과기정통부는 SK텔레콤이 국내 이동통신사업자들이 평균적으로 수행하는 정보보호 조치를 소홀히 했다고 판단한 셈이다.

과기정통부는 SK텔레콤이 이용자와 체결한 계약은 관련 법령상 단순히 '통신 연결'만 제공하는 것이 아니라 '안전한 통신 서비스'를 제공하는 것을 의미한다고 봤다. 침해 사고로 유출된 유심 정보는 이동통신망에 접속하고 안전하고 신뢰할 수 있는 통신 서비스를 위한 필수적이고 핵심적인 요소라는 것이다. 이 같은 판단은 통신서비스 제공 사업자가 '보안이 내재된 통신'을 이용자에게 제공해야 한다는 점을 강조한 것으로 풀이된다.

과기정통부는 "고객 유심 정보 유출 시 제3자가 통신 서비스를 이용할 수 있는 위험 상황이 초래된다"면서 "SK텔레콤이 유심 정보를 보호해 안전한 통신 서비스를 제공할 의무를 다하지 못한 것"이라고 판단했다.

침해 사고가 이용자의 위약금 면제에 해당하는 SK텔레콤의 귀책 사유라는 판단이 내려지면서, SK텔레콤은 정부의 판단을 인정하고 이탈 고객에 대한 위약금 징수를 포기하거나 정부의 판단에 불복하면서 소송에 나서는 선택지가 남았다.

과기정통부는 SK텔레콤에 재발방지 대책 이행계획을 이달까지 제출하고, 8~10월 이를 이행하도록 할 계획이다. 이후 11~12월 이행 점검을 실시할 방침이다. 국회 과학기술정보방송통신위원회 SK텔레콤 태스크포스(TF)에서 논의된 정보보호 제도 개선 방향을 이달 초 발표할 예정이다. 개선 방향에는 통신망 특화 보안 강화, 민간 정보 보호 투자 확대 유도, 민간 정보 보호 거버넌스 강화 등이 포함된다.