SK텔레콤 해킹 피해자들의 집단소송 움직임이 거세지고 있다. 업계에서는 개인정보 유출 자체는 어렵지 않게 증명할 수 있지만 이에 따른 피해보상액을 금전으로 얼마나 환산해 입증할 수 있는지가 관건이 될 것으로 보고 있다. 다만 국내외 사례를 종합해봤을 때 승소 가능성이 작을 것이란 목소리도 작지 않다.
21일 법조계에 따르면 로피드법률사무소 등 복수의 로펌이 SK텔레콤 가입자를 대리해 집단소송을 준비하고 있다. 이 회사 하희봉 변호사는 이미 가입자 9213명에게 1인당 위자료 50만원을 지급하라는 내용의 집단소송을 서울중앙지방법원에 제기했고 오는 30일 수천명 규모의 2차 소송 접수를 할 계획이다. ‘SK텔레콤 개인정보 유출 집단소송’ 네이버 카페 회원도 9만명을 넘어섰다.
SK텔레콤 해킹 피해자들은 개인정보가 유출됐다는 사실 자체는 어렵지 않게 입증할 수 있을 것으로 보인다. 다만 관건은 피해액을 얼마로 환산할 수 있을지다. 법으로 보호받아야 할 개인정보가 유출됐다는 점에서 배상 책임이 인정될 수 있지만, 이로 인한 2차 피해가 없는 상황에서 액수가 유의미하게 클지가 문제다.
SK텔레콤이 고의 또는 중과실로 해킹 피해를 키웠는지도 입증해야 한다. SK텔레콤이 해킹당한 유심 정보를 암호화하지 않고 평문으로 저장하고 있었기에 정보 탈취에 따른 피해가 커진 것은 사실이다. 서버 로그 기록도 5개월치밖에 저장하지 않아 정보 유출 여부를 검증하는 데 어려움을 겪고 있다. 다만 이런 조치들은 법적으로 의무화되지 않은 사항이다.
국내외 사례를 봐도 가입자들의 승소 가능성을 섣불리 예측하기 어렵다. 지난 2012년 KT에서 최소 1200만명의 개인정보가 유출된 사고에 대해 10건 이상의 손해배상 집단소송이 제기됐지만 대법원에서 전부 패소했다. 2023년 개인정보 유출 사고를 빚은 LG유플러스도 개인 고객에 대해 배상하지 않았다.
해외 사례를 보면 T-모바일 미국법인이 개인정보 유출 피해자에게 총 4590억원을 배상하는 파격적인 조치를 취했다. T-모바일은 2021년 최소 7760만명의 이름·생년월일·사회보장번호·운전면허증 정보를 유출하는 대규모 사고에 휘말렸다. 이로 인해 피해자들은 1인당 최고 3200만원에 달하는 배상금을 받았다. 그러나 비슷한 사태인 미국 AT&T(7000만명), 호주 옵터스(1000만명)는 개인정보 유출 사고 피해자에게 별도로 배상하지 않았다. 이 회사들의 후속 조치는 개인정보 보호 서비스 무료가입 제공, 신분증 재발급 비용 보상, 보안시설 투자액 증액 등에 그쳤다.
업계 관계자는 “SK텔레콤이 선량한 관리자로서 법적인 의무를 다 했음에도 불가피하게 해킹당했다고 주장할 경우 이 논리를 깨기 쉽지 않다”며 “KT 집단소송 등 전례를 살펴보면 5년 이상 시간이 소요되고 배상금도 크지 않을 것으로 예상된다”고 말했다.
김지훈 기자 germany@kmib.co.kr