2025년 5월, SK텔레콤에서 발생한 유심(USIM) 해킹 사건은 단순한 기술적 오류를 넘어, 기업의 디지털 보안 체계와 책임윤리에 근본적인 문제를 제기하는 중대한 사안으로 평가된다. 약 2,500만 명에 달하는 이용자 개인정보가 유출된 이번 사건은 단순한 보안사고의 범위를 넘어, 금융 사기, 신분 도용, 정신적 피해 등 실질적인 사회적 피해로 확산되었다.

문제는 사고 발생 그 자체보다 사후 대응의 부실이라는 평가가 크다. 피해자 다수는 유출 사실조차 통보받지 못했으며, 유출 규모 역시 공식 발표보다 축소됐다는 의혹이 제기되었다. 해킹 방식은 비교적 단순한 USIM 인증망을 노린 것으로 분석되나, 결과는 심각했다. SK텔레콤은 해당 사실을 수일간 공개하지 않았고, 언론 보도가 잇따른 이후에야 보안 강화를 약속했다. 하지만 이미 유출된 정보는 다크웹 등지에서 유통되고 있었다는 주장이 뒤따랐다.

정부 대응 역시 논란이 됐다. 과학기술정보통신부는 사건 직후 형식적 수준의 ‘행정지도’에 그쳤으며, SK텔레콤은 5월 5일부터 51일간 신규가입 영업이 중단됐다가 6월 24일 재개됐다. 그럼에도 불구하고 피해자들에 대한 실질적인 보상책은 미비했다는 비판이 제기됐다. 특히 통신 3사 중 유일하게 대규모 해킹이 발생한 SK텔레콤에서조차 타 통신사로의 이동 시 위약금이 청구되어 ‘이중 피해’라는 지적이 나왔다.

피해자 응대 절차도 도마 위에 올라

피해 접수 방식은 온라인에 한정됐으며, 콜센터와 오프라인 대응은 소극적으로 이루어졌다는 평가가 있었다. 피해자들이 스스로 유출 여부를 입증해야 하는 절차, 유출 시점 및 경위에 대한 비공개 방침 등은 피해자 중심주의 원칙에 위배된다는 비판을 받았다. 공공 통신 인프라를 책임지는 기업으로서의 대응으로는 부족했다는 시각이 지배적이다.

SK그룹의 디지털 책임 논란으로 확장

이번 사건은 SK텔레콤에 그치지 않고, SK그룹 전체의 디지털 책임 체계에 대한 의문으로 확산됐다. SK텔레콤은 AI, 빅데이터, 보안 기술 등 ICT 선도 기업임을 자처해 왔지만, 정작 기초적인 개인정보 보호 체계는 취약했던 것으로 드러났다. 보안 인프라 업그레이드는 수년간 이루어지지 않았고, 사고 발생 후의 위기 대응 매뉴얼도 체계적이지 못했다는 분석이 나온다.

SK텔레콤은 초기 대응에서 ‘일시적 보안 사고’, ‘외부 해킹’이라는 프레임을 내세워 책임을 축소하려는 태도를 보였다는 비판을 받았다. 정부 역시 강제성 있는 제재 없이 유야무야 사태를 마무리하면서 징벌적 손해배상 제도의 부재가 재차 지적됐다.

사건 이후에도 책임자 문책, 공식 사과, 구체적 보상안 발표가 이루어지지 않은 점은 한국 자본시장에서 ‘위기 시 오너 책임은 면제되는 구조’라는 구조적 문제를 상징적으로 보여주는 사례로 해석되기도 한다.

주가는 회복됐지만 신뢰는 회복되지 않았다

SK텔레콤의 주가는 사건 직후 하락했으나, 6월 영업 재개와 함께 빠르게 반등했다. 이에 대해 일부에서는 “피해자 고통과 무관하게 작동하는 자본시장의 냉정함”이라는 비판적 시각도 제기된다. 실적과 배당에 따라 움직이는 시장 구조가, 윤리적 책임이나 사회적 가치를 반영하지 못하는 한계를 보여준 사례라는 분석이 나온다.

SK그룹 전체의 위기관리 신뢰도 하락

이번 사태는 SK그룹 전체의 위기관리 역량과 정보보호 시스템 전반에 대한 불신으로 이어지고 있다. SK하이닉스의 중국 리스크, SK이노베이션의 재무 구조 불안정, SK바이오 계열사의 실적 부진 등과 함께, 통신 계열사마저 보안 실패를 겪은 것에 대해 SK 브랜드 전체에 대한 신뢰가 흔들리고 있다는 평가도 이어지고 있다.

ESG 경영을 강조해 온 SK텔레콤의 경우, 정보보안 항목에서 국내 ESG 평가기관으로부터 낮은 점수를 받았다는 지적이 있으며, 실제 ESG 경영이 진정성 있게 실행되고 있는지에 대한 의문도 함께 제기되었다.