경제타임스 김은국 기자 | 과학기술정보통신부(이하 과기정통부)가 KT의 무단 결제 사태에 대해 사측의 중대한 귀책 사유가 있다고 최종 결론 내렸다. 이에 따라 KT 전 고객을 대상으로 위약금 없는 서비스 해지가 가능할 전망이다.
과기정통부는 12월29일 'KT 침해사고 최종 조사 결과'를 발표하며, 정보 유출의 통로가 된 '펨토셀(초소형 기지국)' 관리 부실이 안전한 통신서비스 제공이라는 계약상의 주요 의무를 위반한 것이라고 판단했다.
■ 펨토셀 보안 관리 '낙제점'…내부망 열쇠 넘겨줘
민간합동조사단의 조사 결과, KT의 펨토셀 인증서 관리와 제작 외주사 보안 관리, 비정상 IP 접속 관리 등 기본적인 보안 조치 과정에서 명백한 허점이 드러났다. 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 필수 장치임에도 불구하고, 불법 펨토셀이 언제 어디서든 내부망에 접속할 수 있도록 방치된 사실이 확인됐다.
특히 통신 과정에서 이뤄졌어야 할 종단 암호화가 불법 펨토셀에 의해 해제 가능했던 점이 밝혀졌다. 이는 이용자가 송·수신하는 문자(SMS)와 음성통화 내용이 암호화되지 않은 평문 상태로 탈취될 수 있는 위험에 노출됐음을 의미한다.
■ 4조건 전수조사… 2만여명 정보 유출 확인
정부와 조사단이 지난해 8월부터 올해 9월까지의 기지국 접속 이력 약 4조300억건을 전수 조사한 결과, 피해 규모가 구체적으로 드러났다.
불법 기지국에 접속한 가입자 2만2227명의 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 포착됐다. 실제 소액결제 피해를 입은 고객은 368명, 피해액은 2억4319만원으로 확정됐다.
■ "알고도 숨겼다" 지연 신고에 과태료 부과
KT가 해킹 사실을 인지하고도 당국 신고를 지연한 정황도 재차 확인됐다. KT는 지난해 3~7월 악성코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않은 채 자체 조치했다. 올해 5월부터 실시한 보안점검에서도 침해 흔적을 발견했으나 이를 즉시 보고하지 않고 사흘 뒤에야 신고했다.
과기정통부는 정보통신망법에 따라 KT에 3,000만 원 이하의 과태료를 부과할 예정이다.
■ "안전 의무 위반" 전 고객 위약금 면제 길 열려
이번 조사의 핵심은 KT 이용약관 제39조의 적용 여부다. 과기정통부 관계자는 "KT가 안전한 통신서비스 제공 의무를 다하지 못한 점을 인정할 수밖에 없다"며 "이는 전 이용자를 대상으로 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단한다"고 밝혔다.
그동안 고가의 위약금 때문에 통신사 이동을 망설였던 가입자들은 이번 정부 발표를 근거로 위약금 부담 없이 해지를 요구할 수 있게 됐다. 통신 업계에서는 이번 결정이 KT의 대규모 고객 이탈과 브랜드 신뢰도 하락으로 이어지는 '사상 초유의 사태'가 될 것으로 보고 있다.
