정부가 SK텔레콤 유심(USIM) 정보 해킹 사태의 개인정보 유출 가능성을 공식화했다. 지난 1차 조사에서 "개인정보 유출은 없었다"고 발표했던 입장이 순식간에 뒤집혔다.

2년 전 심어진 'BPF도어'란 백도어는 우리가 모르는 사이 조용히 2695만건의 유심 정보를 훔치고 있었다. 정부 1차 조사 당시만 해도 "개인정보 유출은 없다"고 단언했다. 그러나 2차 조사에서는 이름·전화번호·생년월일·IMEI 등 민감정보가 담긴 임시저장 서버 2대까지 감염됐다는 정반대의 결론이 나왔다. 문제 없다더니?

악성코드가 설치된 시점은 2022년 6월. 로그가 남아있지 않은 기간이 1년 반에 달해 피해 범위는 오리무중이다. 조사단이 "기술적으로 확인이 불가능하다"고 말할 수밖에 없었던 이유다. 수사는 진행 중이지만, 대중은 이미 '무슨 일이 일어난 건지'보다 '어디까지 당한 건지'를 먼저 묻고 있다.

이 가운데 피해 이용자들은 이번 사태를 두고 SK텔레콤에 냉정한 질문을 던지고 있다. 개인정보가 유출됐는데도 계약 해지를 하면 위약금을 내야 하는가. 집단분쟁조정 신청이 이어지고, 법적인 해석도 갈리고 있다. 핵심은 이 해킹 사고가 'SK텔레콤의 귀책 사유'에 해당하느냐는 점이다.

일부 법조계는 유심 정보 유출이 보안 관리 실패에서 비롯된 만큼, 통신서비스 전체 책임 주체로서 SK텔레콤이 위약금 면제를 포함한 책임을 져야 한다고 주장한다. 하지만 또 다른 법조계 시각은 달랐다. "음성·데이터 등 본래 통신 기능에는 문제가 없었다"는 이유로, 약관상 면제 요건은 아니라고 선을 긋는다. 같은 사안을 놓고 '서비스의 범위'에 대한 해석이 극명히 갈린다.

2차 피해 가능성에 대해 정부는 "기술적으로 무력화 가능하다"는 입장을 밝혔고, SK텔레콤도 "IMEI만으로 복제는 불가하다"고 선을 그었다. 모든 해명은 결국 사후 대응이다. 앞서 간단히 뒤집혔던 사실처럼 이번 입장도 어느 날 갑자기 조용히 뒤집힐지 모를 일이다. 이용자 입장에서 위약금은 단지 돈의 문제가 아니다. 통신망이 뚫렸는데 책임을 묻지 못한다면, 우리는 어디서부터 다시 믿어야 하는가.

6월 말까지 조사 완료가 목표다. 그 사이 우리 통신망 안에서는 여전히 '알 수 없는' 침입자가 또 다른 문을 두드릴지 모른다.