정부 조사단 "역대 최악의 KT 해킹, 전체 이용자 위약금 면제 조치"…KT "보상안 곧 발표"

서버 94대 악성코드 103종 감염…통신사 최악 수준
문자·통화 유출 가능성에 안전한 통신 제공 의무 위반
정부 "위약금 면제 대상·기간 국민 눈높이 맞는 판단 기대"

류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 KT·LGU+ 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 과기정통부는 이날 브리핑에서 해킹 방지를 소홀히 해 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 책임을 물어 KT에 전 이용자를 대상으로 위약금 면제 조치를 할 것을 요구했다. 연합뉴스

정부가 해킹 방지를 소홀히 해 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 책임을 물어 KT에 전 이용자를 대상으로 위약금 면제 조치를 할 것을 29일 요구했다.

◆역대 최악의 악성코드 감염

과학기술정보통신부는 이날 KT 침해 사고 최종 조사 결과를 발표했다. 민관 합동 조사단이 KT 서버 3만3천대를 6차례에 걸쳐 점검한 결과 서버 94대가 악성코드 103종에 감염돼 있었다. 역대급 통신사 해킹 사건으로 지목된 SKT(33종)와 비교해도 KT의 감염 범위가 훨씬 더 광범위했다.

이와 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해를 본 이용자는 2만2천227명, 무단 소액결제 피해자는 368명, 피해액 2억4천300만원으로 파악돼 중간 조사 결과와 변동이 없었다.

조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 이들 기기에 KT망 접속에 필요한 KT 인증서 및 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제3의 장소로 전송하는 기능이 있음을 확인했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다며 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 요구했다.

◆명백한 위약금 면제 사유

과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다.

약관에 명시된 "회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다"는 규정에 부합하다는 것이다. 특히 평문의 문자, 음성 통화가 제3자에게 새어나갈 위험성이 전체 이용자에게 노출됐다고 봤다.

조사단이 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과 4곳에서 이번 침해 사고로 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 법적 판단을 전달했다.

과기정통부는 KT가 위약금 면제 조치를 SKT의 사례에 준해 적용할 것으로 보고 있다.

SKT는 사고 최종 조사 결과가 발표된 지난 7월 4일을 기준으로 열흘간 침해 사고 이후 해지한 고객을 포함해 위약금 면제를 적용한 바 있다.

과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고 6월까지 이행 여부를 점검할 계획이다.

통신업계에 따르면 KT는 30일 이사회를 열어 위약금 면제 범위와 고객 보상안을 논의, 발표할 것으로 알려졌다.

KT는 "민관 합동 조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정"이라고 밝혔다.