최근 SK텔레콤의 악성코드로 인한 유심(USIM) 정보 유출 사고가 발생하면서, 개인정보 보호에 대한 사회적 우려가 급격히 확산되고 있다. 이번 사건은 단순한 기술적 실수를 넘어, ESG(환경, 사회, 지배구조) 전 영역에 걸쳐 기업의 지속가능성에 심대한 타격을 입힌 사건으로 해석된다. 특히 시장지배적 위치에 있는 기업이 대규모 개인정보를 보유하고 있음에도 이에 상응하는 수준의 책임과 리스크 관리를 수행하지 못했다는 점은, ESG 경영체계 전반에 대한 근본적 성찰을 요구한다.

SK텔레콤 유심 정보 유출 사고

 

2025년 4월, SK텔레콤의 유심(USIM) 관리 시스템이 악성코드에 감염되면서 대규모 개인정보가 유출되었다. 유출된 정보는 유심 일련번호로 가입자 식별 번호인 IMSI, 단말기 식별 번호 IMEI, 통신사와 HSS가 공유하는 공유키 K 등으로 SIM 카드 복제가 우려되는 정보이며, 그 피해 규모는 2,300만 명에 이를 것으로 추정된다.

 

특히 이동통신 서비스를 통해 국민 대다수가 스마트폰으로 금융거래, 본인인증 등 지극히 사적인 서비스를 이용하고 있다는 점에서, 이번 사건은 단순한 기업 내부 문제가 아니라 심각한 사회 인프라 리스크로까지 확대되고 있다. SK텔레콤은 사고 직후 시스템 점검과 일부 사실 공개를 통해 대응했지만, 늑장 대응과 늦은 개별 통지, 늦은 대응안 발표가 문제로 지적되고 있다. 나아가 유심 변경을 위한 유심 확보, 교체 방안, 구체적 보상 계획 등이 명확히 제시되지 않고 있는 현실이다.

 

 

 ESG 관점에서 본 문제의 본질과 대체 불가능 기업의 추가적 책임

 

개인정보 유출은 단순한 보안 사고가 아니다. 환경(Environment), 사회(Social), 지배구조(Governance) 세 영역 모두에 중대한 영향을 미치는 복합적 리스크이다.

 

우선, 데이터 복구 과정에서 서버 증설과 시스템 점검을 반복하게 되면 막대한 전력 소모와 탄소배출이 발생한다. 디지털 운영조차 환경적 책임을 요구받는 시대에, 사고 복구조차 탄소중립을 고려하지 않는다면 기업의 환경책임 이행이 의심받게 된다.

 

사회적 측면에서 보면, 개인정보는 단순한 데이터가 아니라 현대사회의 인간 존엄성과 직접 연결되는 요소이다. 특히 유심 정보는 금융거래와 본인인증 등 다양한 분야에서 활용되기 때문에, 이번 사고는 심각한 2차 피해(명의도용, 금융사기 등) 가능성을 초래한다. 디지털 인권 보호 실패는 사회 전체의 신뢰 기반을 붕괴시키는 치명적 결과로 이어진다.

 

마지막으로, 지배구조 측면에서는 이사회 차원의 리스크 관리 실패가 뚜렷하게 드러났다. 시장지배적 기업이라면 평상시부터 개인정보 보호 리스크를 전략적 차원에서 관리하고, 사고 발생 시 이사회가 즉각적으로 개입하여 책임 있는 조치를 이행해야 한다.

 

이동통신 서비스처럼 국민 생활에 필수적인 인프라를 제공하는 기업은 일반 민간기업과 다른 차원의 사회적 책임을 져야 한다. 대다수 국민이 스마트폰을 통해 금융, 행정, 본인 인증 등 핵심 서비스를 이용하는 상황에서, 개인정보를 수탁한 기업은 사실상 공공적 역할을 수행하고 있는 셈이다. 

 

이러한 기업에게는 단순한 법적 의무를 넘어, 공공신뢰 유지와 디지털 사회계약 재구축이라는 시대적 책무가 부여된다. 따라서 이번 사건은 기업 내부 시스템 개선에 그칠 문제가 아니라, 국가적 차원의 디지털 신뢰 인프라를 다시 설계하는 계기가 되어야 한다.

 

전략적 대응 방안 제언, ‘디지털 패스트트랙 보상제’ 도입의 필요

 

이제 기업은 단순히 '복구'를 넘어, ESG 기반 위기관리 전략을 정교하게 수립해야 한다.

우선, 친환경적 데이터 복구 체계 구축이 필요하다. Microsoft는 2020년 SolarWinds 공격 이후 보안 인프라를 재구축하면서 탄소중립 목표를 적용하고, 데이터 복구 과정의 탄소배출량까지 관리·공시하였다. 이처럼 복구 작업조차 환경적 책임을 고려하는 것이 글로벌 표준이 되어가고 있다.

 

둘째, 사회적 신뢰 회복 프로그램을 가동해야 한다. 미국의 Capital One은 2019년 약 1억6천만명의 개인정보 유출 사고 당시, 피해자 전원에게 무료 신용 모니터링 서비스를 제공하고, 구체적 사고 경위를 신속히 공개하는 등 적극적 대응에 나섰다. 결국 중요한 것은 사과가 아니라, 피해자가 체감할 수 있는 실질적 보호 조치와 투명성이다.

 

셋째, 이사회 차원의 지배구조 개혁이 절실하다. 페이스북(현 Meta Platforms)은 케임브리지 애널리티카 스캔들 이후, 개인정보 보호를 감독하는 전담 위원회를 이사회에 설치하고 외부 감사를 의무화했다. 리스크 통제 시스템을 이사회 주도로 강화함으로써, 장기적 투자자 신뢰를 회복할 수 있었다.

 

여기에 더해, 현재의 상황에 실질적이면서 즉각 도입이 필요한 기업의 대응 전략으로 디지털 시대에 걸맞은 '디지털 패스트트랙 보상제'를 도입할 필요가 있다. 대규모 개인정보 유출 상황에서는 USIM 도용으로 발생한 피해를 피해자가 일일이 신고하고 서류를 제출하는 기존의 절차가 아니라, AI 기반의 피해 판정 시스템을 통해 신속하고 자동화된 보상을 제공해야 한다. 이는 사회적 신뢰를 회복하는 동시에, 디지털 사회에 맞는 민첩성과 투명성을 확보하는 데 필수적인 조치이다.

 

이들 사례와 새로운 제안은 모두, 사고 이후 단순한 복구를 넘어 구조적 ESG 혁신으로 이어진 경우다. 환경, 사회, 지배구조 각각의 영역에서 통합적 개혁을 추진해야만, 기업은 생존할 수 있다.

ESG로 지속가능한 신뢰를 구축해야

 

이번 SK텔레콤 개인정보 유출 사고는 단순한 기술적 오류가 아니다. 디지털 시대에 개인정보 보호 실패는 곧 ESG 경영 실패를 의미하며, 기업의 지속가능성을 직접적으로 위협한다. 

 

특히 시장지배적 기업은 환경책임을 수반한 사고 대응, 사회적 신뢰 회복을 위한 피해자 구제, 지배구조 차원의 구조적 개혁 을 신속하고 투명하게 이행해야 한다.

 

진정한 ESG 경영은 위기 앞에서 빛난다. 지금이야말로, 기업이 자신들의 진정성과 책임감을 증명해야 할 때다. 사회와의 새로운 신뢰 계약을 체결하는 것, 그것이 지속가능한 기업으로 나아가는 첫걸음이 될 것이다.

 

 

덧붙이는 글 I 

 

윤재은(Yoon Jae Eun)

  

예술, 문학, 철학적 사유를 통해 본질에 대해 고민하는 공간철학자이자 건축가이다. 현재 국민대학교 조형대학 공간디자인학과, 테크노전문대학원 공간문화디자인학과 교수로 재직 중이다. 홍익대학교 산업디자인 학사, 미국 뉴욕 프랫대학 인테리어디자인 석사, 홍익대학교 건축대학 공학박사 학위를 받았다. 한국토지주택공사 LH 이사회의장, LH ESG 소위원회 위원장, 2022년 대한민국 ESG소통 운영위원회 위원장을 지냈다. 미국의 UC버클리대학 뉴미디어 센터에서 1년간 방문학자로 있었다. 저자는 ‘해체주의 건축의 공간철학적 의미체계’ 박사 논문을 통해 공간철학이라는 새로운 학문적 영역을 개척하였다. ‘공간철학’이란 반성을 통해 지식의 한계를 극복하고, 직관을 통해 무형의 공간과 사물의 본질을 이해하는 것이다. 주요 저서로는 장편소설 ‘비트의 안개나라’, 시집 ‘건축은 나무다’, ‘건축은 선이다’, 건축 전문서적 ’Archiroad 1권(Hyun), 2권(Sun), 3권(Hee)‘, 철학 인문 서적 ‘철학의 위로’가 있다.

 

김동헌 (Kim Dong Hun) | 디지털 기술 기반 공간혁신 연구자, 칼럼니스트

 

AI 기반 공간디자인, 뉴미디어 아트, 공간 산업의 ESG를 연구하고 있다. 홍익대에서 기계공학과 법학을 전공한 뒤 LG전자 특허센터에서 기술 전략과 혁신 업무를 경험했다. 현재는 디지털 기술이 공간 경험을 확장하는 방식과 다양한 학문이 융합되는 공간디자인 교육의 진화 방향을 연구하고 있다. 국민대학교 디자인대학원 공간디자인전공 겸임교수로서 미래학(Futurology)과 공간철학을 강의하고 있으며, ㈜리네아디자인 이사로 공간의 미래를 설계하는 연구자이자 실천가로 활동 중이다.