과기정통부 "KT, 무단결제 사태 귀책 있다"…'위약금 면제' 가능 판단

불법 펨토셀 '관리 부실' 과실 인정…KT, 이용자 '계약 위반' 판단

(서울=연합인포맥스) 최정우 기자 = 과학기술정보통신부는 KT[030200]가 무단 결제 사태에 중대한 귀책 사유가 있는 것으로 결론내리고, 전 고객 대상 위약금 면제가 가능하다고 판단했다.

과기정통부는 29일 'KT 침해사고 최종 조사 결과'를 발표하고, 이번 정보 유출의 통로가 된 '펨토셀'에 대한 관리 부실이 안전한 통신서비스 제공이라는 계약의 주요 의무를 위반한 것이라고 판단했다.

◇ 펨토셀 관리 부실…KT, '안전 서비스 제공' 의무 위반

민간합동조사단의 조사 결과에 따르면 펨토셀 인증서 관리와 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 보안 조치 과정에서 명백한 문제점이 드러났다.

이번 침해사고에서 KT가 부실하게 관리한 것으로 확인된 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 장치로, 안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소이다.

하지만 조사단은 불법 펨토셀이 언제, 어디서든 KT 내부망에 접속할 수 있었고, 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했던 사실을 확인했다.

또한, 통신 과정에서 이용자 단말기와 KT 내부망 사이 구간의 송·수신되는 정보는 종단 암호화가 이뤄졌어야 하지만, 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실까지 확인됐다.

이는 불법 펨토셀에서 이용자가 송·수신하는 평문의 문자, 음성통화 정보를 탈취할 수 있는 위험한 상황에 노출된 것이며 실제 일부 지역에서 피해도 발생했다.

KT 이용약관 제39조에서는 회사의 귀책 사유로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.

과기정통부 관계자는 "이번 침해사고에서 KT의 과실이 발견됐고, 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 인정할 수 밖에 없다"면서 "KT 전체 이용자를 대상으로 이용약관상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단했다"고 설명했다.

◇ KT 피해 규모 확정…지연 신고에는 과태료 부과 예정

이날 최종 조사 결과 KT 해킹에 따른 피해 규모는 소액결제 피해 고객은 368명, 피해액 2억4천319만원이다.

과기정통부와 조사단, KT 등은 지난해 8월 1일부터 올해 9월 10일의 모든 기지국 접속 이력 약 4조300억 건을 전수 조사했다.

그 결과 불법 기지국인 펨토셀 20개에 접속한 2만2천227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황을 확인했다. 감염서버는 총 94대, 악성코드는 총 103종이다.

KT가 해킹 사실을 알고도 당국에 신고를 지연한 사실도 재차 확인했다.

과기정통부는 KT가 지난해 3∼7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않고 자체적으로 조치한 것으로 판단했다. 올해 5월부터 9월15일까지 KT가 자체적으로 실시한 외부업체 보안점검에서도 침해 흔적이 발견됐지만, 이를 3일 뒤인 9월18일 신고한 정황도 특정됐다.

과기정통부는 신고 지연 및 미신고에 대한 처벌을 규정한 정보통신망법에 따라 KT에 과태료를 부과할 예정이다.

정보통신망법 제76조는 통신 침해사고 신고 지연 및 미신고 행위를 3천만원 이하 과태료 부과 대상으로 하고 있다.

과기정통부 관계자는 "조사단은 이번 침해사고 조사 과정에서 KT가 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점을 발견했다"면서 "이 외에도 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이루어지지 않는 사실을 확인했고 이에 대한 조치 방안을 고지했다"고 말했다.

jwchoi2@yna.co.kr