목차
1. 유심 해킹 피해자들, 누구에게 보상을 요구해야 할까?
2. 약관엔 뭐라고 적혀 있을까? 통신사의 ‘책임’은 어디까지?
3. 피해자 보호, 이제는 ‘선조치 후 조사’가 돼야 한다
1. 유심 해킹 피해자들, 누구에게 보상을 요구해야 할까?
유심 해킹 사건이 터졌을 때 가장 먼저 떠오르는 질문 중 하나는 “이거 누구 책임이지?”이다. 피해자는 분명 자신의 잘못 없이 피해를 입었는데, 정작 보상이나 사과를 받아내는 건 복잡하고 까다롭다. 통신사는 기술적 허점을 방치했고, 금융기관은 인증 절차에서 뚫렸으며, 피해자는 돌연 모든 걸 감당해야 하는 상황에 내몰린다.
SK 유심 해킹 사건에서도 비슷한 일이 벌어졌다. 피해자들의 유심이 해커에 의해 교체되고, 그 사이 금융기관에서는 대출, 송금, 신용카드 발급까지 줄줄이 이뤄졌다. 피해자 본인은 그 사실조차 몰랐다. 해킹 사실을 뒤늦게 알아차리고 경찰에 신고하고 통신사에 항의했지만, 돌아온 답변은 ‘개인정보가 이미 유출된 상황에서는 어쩔 수 없다’는 식이었다는 증언도 있었다.
하지만 여기서 중요한 포인트가 있다. ‘통신사의 귀책 사유’가 입증될 경우, 계약상 불이익 없이 번호이동이나 위약금 면제 같은 조치를 요구할 수 있다는 조항이 실제 약관에 포함돼 있다는 것이다. 물론 이걸 실제로 적용받으려면 꽤 복잡한 절차와 증명이 필요하다. 피해자가 스스로 해킹 사실을 소명하고, 통신사의 보안 시스템에 어떤 허점이 있었는지를 주장해야 하기 때문이다.
이 지점에서 피해자들은 두 번 상처를 입는다. 해킹 자체보다 더 괴로운 건 책임 떠넘기기 속에서 누구도 확실한 보상을 약속하지 않는 현실이다. 지금처럼 통신사와 금융기관이 서로 책임을 회피하는 구조에서는, 피해자 보호는 결국 선언에 그칠 수밖에 없다.
2. 약관엔 뭐라고 적혀 있을까? 통신사의 ‘책임’은 어디까지?
SK브로드밴드를 비롯한 통신사들의 약관을 보면, 서비스 제공 중 문제가 발생했을 때의 처리 절차와 책임 범위가 적혀 있다. 특히 약관 제4조에는 "회사의 귀책사유로 인해 이용자에게 피해가 발생한 경우, 회사는 그 손해를 배상한다"는 문구가 포함돼 있다. 이 말만 보면 상당히 든든하게 느껴진다. 하지만 실제 사건에 적용되기까지는 여러 조건이 붙는다.
먼저 ‘귀책사유’의 정의가 모호하다. 과실이 명확하게 입증돼야 한다는 점 때문이다. 즉, 통신사가 고의로 방치했거나, 명백한 보안 미흡이 증명돼야 한다. 하지만 대부분의 경우 통신사는 “정상적인 절차에 따라 유심이 교체되었다”라고 주장하며 책임을 부정한다. 피해자의 유심이 해커에 의해 교체되었더라도, 통신사는 그 인증 과정이 내부 절차상 문제없었다면 귀책사유가 아니라고 보는 식이다.
또 하나 짚고 넘어가야 할 부분은, 보상의 범위다. 설령 귀책이 인정되더라도, 통신사는 일반적으로 자신들의 서비스 범위 내 피해만을 보상하려 한다. 예를 들어 통신 끊김에 따른 업무 지연, 통화 장애에 대한 보상은 가능할지 몰라도, 금융 피해나 신용 손상은 책임지지 않겠다는 입장이다.
그렇기 때문에 유심 해킹처럼 연쇄적으로 발생하는 복합 피해에서는 통신사-금융기관-이용자 간의 책임 경계가 무척 흐릿해진다. 각 기관이 ‘자기 책임은 여기까지’라고 선 긋는 동안, 피해자는 그 경계 밖에 서게 된다. 이 문제를 해결하려면 단순한 사후 보상보다, 통신사 약관과 피해자 보호 체계 전반을 재설계할 필요가 있다.
3. 피해자 보호, 이제는 ‘선조치 후조사’가 돼야 한다
피해자 입장에서 가장 답답한 건, 정작 피해가 발생했는데도 즉각적인 보호조치를 받기 어렵다는 현실이다. 피해자는 입증을 요구받고, 통신사는 절차를 들먹인다. 그런데 사이버 범죄는 순식간에 진행된다. 피해 발생 후 몇 시간이면 수천만 원이 빠져나가고, 해커는 이미 해외로 도피했을 수 있다. 그런 상황에서 ‘조사 후 보상’이라는 구조는 실효성이 없다.
이제는 패러다임을 바꿔야 한다. 피해 발생이 확인되면, 우선 고객을 보호하고, 이후에 책임 소재를 따지는 ‘선조치 후 조사’ 방식이 필요하다. 통신사는 의심스러운 유심 변경 시 즉시 경고 메시지를 보내고, 본인 확인이 안 되면 유심 교체를 자동으로 중지하는 등 능동적인 조치가 가능하다. 이미 일부 은행은 일정 금액 이상 이체 시 고객에게 직접 전화 확인을 한다거나, 위험 거래에 대해 자동 차단 시스템을 운용 중이다.
게다가, 피해자 지원을 위한 전담 센터 운영도 중요한 과제다. 현재는 피해자 본인이 통신사, 은행, 경찰서를 따로 찾아다녀야 한다. 그 사이에 2차 피해가 생기는 경우도 많다. 만약 모든 관련 기관이 한 곳에서 협업할 수 있는 통합 대응 창구가 있다면, 피해자는 훨씬 빠르게 도움을 받을 수 있다.
통신사의 책임은 단지 ‘신호를 잘 보내는 것’에 그치지 않는다. 이제는 디지털 사회에서 고객의 신원을 보호하는 보안의 파수꾼 역할까지 맡아야 한다. 유심 하나로 일상이 흔들릴 수 있는 지금, 피해자 보호는 선택이 아니라 의무다.