소비자 스스로 개인정보 지켜야 한다?

2025년 4월 20일, 한국인터넷진흥원(KISA)에 한 건의 신고가 접수됐다. “4월 19일 오후 11시경, 악성코드로 인해 SK텔레콤(SKT) 고객의 유심 관련 일부 정보가 유출된 것으로 의심된다”는 내용이었다. 이틀 뒤인 4월 22일, SKT는 사용자들에게 문자를 발송했다.

"SK텔레콤은 2025년 4월 19일 오후 11시경, 악성코드로 인해 고객님의 유심 관련 일부 정보가 유출된 것으로 의심되는 정황을 발견했습니다."

2,300만 명이 이용하는 국내 최대 통신사 SKT에서 유심 정보 유출 사고가 발생한 것이다. 사용자들은 자신도 피해자가 된 것은 아닌지 불안에 떨었다. SKT는 왜 이런 사태를 초래했고, 왜 비판받고 있는 걸까?

누구도 이 사건을 말하지 않았다

이번 사건에 사용된 악성코드는 중국 해킹 그룹이 자주 사용하는 'BPFdoor'라는 기술이었다. BPFdoor은 일반적인 백도어와 달리 서버에 미리 접속할 수 있다. 이런 특징때문에 감염된 시스템은 의심스러운 정황 없이 남아 있을 수 있어 발견이 어렵다. 대게 보안이 취약한 서버에 침입한다. 이 기술은 수년 전부터 중동과 아시아 지역을 공격하는 데 사용되어 왔으며, 최근에는 오픈소스화되어 공격자를 특정하기 어려운 상황이다.

BPFdoor를 통한 통신사 공격은 이번이 처음이 아니다. BPFdoor은 보안이 취약한 서버를 중심으로 공격한다. 이는 SKT서버의 보안이 매우 취약했다는 것을 알려준다. 실제로 SKT는 지난 2년간 정보 보안 투자비가 약 4% 감액되었다고 한다.

SKT는 사고 인지 후 무려 3일이 지나서야 공식 발표를 했다. 이는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제58조의2'에 명시된 '유출 인지 후 24시간 이내 보고' 의무를 어긴 것이다.

사고는 내가, 책임은 네가

SKT는 사과 대신 공식 홈페이지에 "유심보호 서비스" 가입을 권유하는 공지를 올렸다. 유심보호 서비스란, 타인이 고객의 유심을 복제하거나 탈취하는 것을 막는 서비스다. 하지만 이는 사용자가 직접 신청해야 하며, 결국 책임을 소비자에게 전가하는 꼴이 되어 비판을 받았다. 여론이 악화되자 SKT는 모든 고객에게 무상 유심 교체를 지원하겠다고 발표했다.

그러나 SKT는 거짓말을 했다

무상 교체 발표 후, 많은 고객들이 대리점을 찾았지만 대부분 "유심 재고가 없다"는 답변을 들었다. 사실, SKT 본사는 대리점에 다음과 같은 지침을 내렸다.

"회사의 비용이 많이 들어갈 것으로 예상되므로, 무조건 유심 교체 대신 최소화 처리하라."

결국, 대리점 직원들은 고객에게 유심이 없다고 거짓말을 해야 했고, SKT는 소비자로부터 또 한번 신뢰를 저버렸다.

우리는 누구를 믿어야 하나

SKT뿐만 아니라 다른 통신사들도 문제를 일으켰다. KT는 10Gbps 초고속 인터넷 요금제를 가입한 고객에게, 월 22,000원짜리 100Mbps 속도를 제공한 사실이 드러나 비난을 받았다. 당시 많은 소비자가 KT를 떠나 SKT로 이동했지만, 이번 사건으로 SKT 역시 신뢰를 잃었다.

이제 소비자들은 단순히 제품이나 서비스를 선택하는 것을 넘어, '누구를 믿을 수 있는가'라는 더 깊은 고민을 해야 하는 시대가 됐다. 언제부터 소비자들은 이런 고민을 당연하게 받아들인 것인가.