정부 “KT 침해사고 ‘회사 귀책’…위약금 면제해야”

안전한 통신서비스 제공 의무 다하지 못해 위약금 수용 여부 주목…KT “검토 중” 정부가 펨토셀(소형 기지국) 관리 부실로 무단 소액결제 사고가 벌어진 KT에 대해 위약금 면제 규정 적용이 가능하다는 판단을 내렸다. 불법 펨토셀로 인해 통신 암호화가 무력화되고 개인정보·결제 인증 정보 탈취 위험에 전체 이용자가 노출됐다는 점에서 KT가 계약상 주된 의무인 ‘안전한 통신서비스 제공’을 다하지 못했다는 결론이다. 과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과와 함께 KT 이용약관상 위약금 면제 규정 적용 여부에 대한 법률 검토 결과를 발표했다. 조사 결과 KT 침해사고는 펨토셀 관리 체계의 전반적인 부실에서 비롯된 것으로 확인됐다. KT에 납품되는 모든 펨토셀에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정하는 등 관리가 허술해 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었다는 것이다. 이 과정에서 통신 암호화가 해제돼 결제 문자(SMS)·음성통화(ARS) 인증 정보가 탈취될 수 있는 구조적 취약점도 드러났다. 이 사고로 2만 2227명의 가입자 식별번호(IMSI)·단말기 식별번호(IMEI)·전화번호 등 가입자 정보가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해를 입은 것으로 집계됐다. 또한 KT 전체 서버 점검 결과 94대 서버에서 103종의 악성코드가 발견됐으며, 일부 악성코드는 지난해 3~7월 발견 후에도 정부에 신고하지 않은 사실이 확인됐다. 과기정통부는 법률 자문을 거쳐 이번 사고가 KT 이용약관상 ‘기타 회사의 귀책 사유’에 해당한다고 판단했다. 펨토셀은 단말과 통신사 내부망을 연결하는 핵심 장치로, 관리 부실로 인해 이용자가 통신 탈취 위험에 노출됐다는 점에서 계약의 본질적 의무를 위반했다는 설명이다. 이에 따라 침해사고를 이유로 이용자가 계약을 해지할 경우 위약금 면제가 가능하다고 결론 내렸다. 다만 위약금 면제는 KT가 정부의 결정을 수용해야 실제 조치에 나서야만 가능하다는 점에서 향후 KT의 대응에 주목이 쏠리고 있다. KT 측은 “현재 위약금 면제 수용 여부를 검토 중”이라는 입장을 밝혔다. 앞서 SK텔레콤은 유심 해킹 사고와 관련해 정부가 지난 7월 최종 조사 결과를 발표하며 위약금 면제를 요구한 당일 ‘책임과 약속’ 프로그램을 공개하고 이를 즉각 수용했다. 이 프로그램은 향후 5년간 정보보호에 총 7000억원을 투자하고, 침해사고 이후 해지 또는 해지 예정 약정 고객에 대해 위약금을 면제하는 내용 등을 담고 있다. 정부는 KT에 대해 펨토셀 보안 강화, 종단 암호화 설정 개선, 보안장비 도입, 로그 보관기간 연장, 정보보호최고책임자(CISO) 중심 거버넌스 확립 등 재발 방지 대책 이행을 요구하고, 침해사고 신고 지연·미신고에 대해서는 과태료를 부과할 예정이다. 일부 조사 방해 행위에 대해서는 형사 수사도 의뢰했다. 한편 LG유플러스 침해사고는 익명의 제보자로부터 입수한 자료를 바탕으로 일부 유출 정황은 확인했으나, 관련 서버의 OS 재설치·폐기 등으로 인해 조사가 불가능한 상황임이 드러났다. 조사단은 해당 조치가 부적절하다고 판단해 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다. 이에 대해 LG유플러스 측은 “경찰 수사에 성실히 임하겠다”는 입장을 밝혔다. 배경훈 과기부총리는 “이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심 가치로 삼아야 한다”고 말했다.