불법 초소형 기지국(펨토셀) 해킹으로 무단 소액결제 피해가 발생한 KT에 대해, 정부가 위약금 면제 규정 적용이 가능하다고 최종 판단했습니다.

정부는 또, 서버 정보 등이 외부로 유출됐으나 사고 관련 서버를 폐기한 것으로 알려진 LG유플러스에 대해선 경찰에 수사를 의뢰했습니다.

과학기술정보통신부는 이 같은 내용의 민관합동조사단 침해사고 조사 결과를 오늘(29일) 발표했습니다.

조사단은 KT가 지난 10월 발표한 피해 규모에 대한 산출 방법의 적절성 및 산출과정에서의 피해 누락 여부 등의 검증을 거친 결과 불법 펨토셀로 인한 침해사고로 2만2,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번화가 유출됐다고 전했습니다.

특히 368명이 무단 소액결제로 2억4,300만 원 규모의 피해가 발생했음을 확인했다고 밝혔습니다. 이는 KT가 산출한 피해 규모와 일치하는 수치입니다.

다만, 통신결제 관련 데이터가 남아있지 않은 기간인 2024년 7월 31일 이전에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다고 조사단은 설명했습니다.

과기정통부는 이러한 조사 결과를 바탕으로 법률 자문을 진행했는데, 법률 자문 기관 5곳 중 4곳에서는 이번 침해사고를 KT의 과실로 판단했습니다.

해당 기관들은 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했습니다.

과기정통부는 조사단의 조사 결과와 KT의 입장, 법률자문 결과 등을 종합적으로 검토해 KT가 이용자에게 통신서비스를 제공함에 있어 계약상 주된 의무를 위반했는지 여부를 들여다 봤습니다.

과기정통부는 "펨토셀 관리 부실로 불법 펨토셀이 언제, 어디서든 KT망에 접속할 수 있었으므로 KT는 이번 침해사고에 과실이 있다"며 "KT는 펨토셀 보안 관리를 통해 전체 이용자에게 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 판단한다"고 전했습니다.

그러면서 "KT 과실이 발견된 점, KT가 계약상 주된 의무를 다하지 못한 점 등을 고려할 때 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다"고 설명했습니다.

과기정통부는 이번 조사단의 조사 결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출하도록 하고, KT의 이행 여부를 내년 6월 전까지 점검할 계획입니다.

아울러 이행점검 결과 보완이 필요한 사항에 대해서는 정보통신망법에 따라 시정조치를 명령하고, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진한다는 방침입니다.



과기정통부는 또 LG유플러스 침해사고에 대한 조사를 진행한 결과, 통합 서버 접근제어 솔루션과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)가 실제로 유출된 것으로 확인됐다고 밝혔습니다.

다만, “자료가 유출됐을 것으로 추정되는 또 다른 서버는 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없었고 침해 사고 관련 주요 서버 등이 모두 재설치 또는 폐기돼 조사가 불가능했다”고 조사단은 설명했습니다.

조사단은 이런 행위가 한국인터넷진흥원(KISA)이 침해사고 정황 등에 대해 안내한 이후 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 LG유플러스를 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰했습니다.

배경훈 부총리 겸 과기정통부 장관은 “이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했습니다.

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

문형민(moonbro@yna.co.kr)