[비즈니스포스트] 정부가 무단 소액결제와 개인정보 유출 사태와 관련해 KT가 모든 고객을 대상으로 위약금 면제를 시행해야 한다는 결론을 내렸다.

과학기술정보통신부는 29일 민관합동조사단의 'KT 침해사고 최종 조사 결과'를 발표하고,  KT가 계약상 주된 의무를 다하지 못한 점을 고려해 위약금 면제 규정이 적용 가능하다는 의견을 밝혔다.

최종 조사 결과, KT 해킹에 따른 피해 규모는 소액결제 피해 고객은 368명, 피해액 2억4319만 원이었다.

민관합동조사단은 KT가 크게 불법 소형 기지국(펨토셀) 관리 부실, 사용자 단말기와 KT 내부망 사이의 암호화 해제 문제 등에 있어 과실이 있고, 계약상 안전한 통신서비스를 제공할 의무를 위반했다고 결론을 내렸다.

조사 결과, KT의 소형 기지국인 펨토셀 관리 체계가 무방비 상태였음이 확인됐다. 모든 제품에 동일한 제조사 인증서를 사용해 복제가 용이했고, 한 번 발급된 인증서 유효기간은 10년에 달했다.

조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 이들 기기에 KT망 접속에 필요한 KT 인증서 및 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제3의 장소로 전송하는 기능이 있음을 확인했다.

특히 아이폰 16 이하 기종 등 일부 단말기에는 KT가 암호화 설정 자체를 지원하지 않고 있었다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다며, 인증 서버 IP의 주기적 변경과 대외비 관리 등 보안 관리 개선책을 요구했다.

과기정통부는 펨토셀 관리 부실로 불법 펨토셀이 ‘언제·어디서든’ 망에 접속할 수 있었고, 안전한 통신서비스 제공이라는 계약상 주된 의무를 다하지 못했다고 봤다. 법률 자문(5개 기관)에서도 4곳이 위약금 면제 규정 적용 가능 의견을 냈다.

KT 이용약관 제39조에서는 회사의 귀책 사유로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.

이날 류제명 과기정통부 2차관은 "KT가 위약금 면제 대상 가입자와 면제 가능 기간을 국민 눈높이 맞게 판단할 것으로 기대한다"고 밝혔다.

다만 무단결제가 가능하기 위해 필요한 이름, 생년월일 등에 대한 추가 개인정보를 어떻게 빼냈는지는 밝히지 못했다.

당초 악성코드에 감염된 KT 내부 서버에서 유출된 것이 아니냐는 의혹도 있었다. 하지만 조사 결과, 악성코드 103종에 감염된 94대의 서버에서 개인정보 유출 정황은 확인되지 않았다.

법 위반 사항도 확인됐다.

KT는 무단 소액결제 이상 징후를 지난 9월5일 인지하고도 8일에야 침해사고를 신고했으며, 외부 보안업체 점검에서 침해 흔적이 확인된 뒤에도 신고가 지연됐다. 2024년 BPF도어 등 악성코드를 발견하고도 신고하지 않은 사실도 확인됐다.

이에 따라 정부는 정보통신망법에 따라 최대 3천만 원 이하의 과태료를 부과한다는 방침을 세웠다.

LG유플러스의 자료유출 사고 의혹은 경찰 수사를 통해 가려질 것으로 전망된다.

한국인터넷진흥원(KISA)은 지난 7월 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, 이를 회사에 통보했다.

조사단은 익명의 제보가 사실이었던 것으로 확인했다. 다만 자료 유출이 의심되는 서버가 운영체제 업그레이드 등으로 흔적 확인이 어려웠고, 제보자가 주장한 협력사 경유 침투 여부도 관련 장비의 운영체제(OS) 재설치·폐기 등으로 검증이 막혔다.

조사단은 LG유플러스의 이런 행위가 KISA 통보 이후 이뤄진 점을 고려할 때, 부적절한 조치로 판단하고 위계에 의한 공무집행 방해 혐의로 이달 초 경찰청에 수사를 의뢰했다.

배경훈 부총리는 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 말했다. 나병현 기자