정부 "KT, 全 고객 위약금 면제해야"···내일 보상안 발표할 듯(종합)

정부가 KT 무단 소액결제 사태와 관련해 이탈 고객 전원에 대한 위약금을 면제해야 한다고 유권해석했다. 사고 과정에서 KT 과실이 대거 발견된 데다, 회사가 고객과의 계약상 의무도 다하지 못했다고 판단한 결과다. KT는 오는 30일 이사회를 열어 위약금 면제 조치를 포함한 보상안을 의결·발표할 계획이다.

과학기술정보통신부(이하 과기정통부)는 29일 정부서울청사에서 브리핑을 열어 KT 침해사고에 대한 민관합동조사단(이하 조사단) 조사 결과를 공유했다.

조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염된 사실을 확인했다. 사상 초유의 통신사 해킹 사건으로 기록된 SK텔레콤의 경우 악성코드 33종에 감염됐고, 이 가운데 1종이 서버 88대에 유입된 것을 고려하면 KT의 감염 범위가 더 넓다.

웹셸 및 BPFDoor 악성코드는 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 통해 서버에 침투한 것으로 추정됐다. 다만 루트킷, 백도어 등의 악성코드는 감염 당시 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법을 판단할 수 없었다.

이와 별도로 발생한 '불법 펨토셀'로 인한 침해사고로는 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐다. 또 368명(777건)이 무단 소액결제로 2억4300억원 정도의 피해를 입었다. 이는 앞서 KT가 산출해 발표한 피해 규모와 일치한다.

다만, 통신결제 관련 데이터가 남아있지 않은 기간(2024년 7월 31일 이전)은 확인이 불가능해 추가 피해 사실은 확인할 수 없었다.

무단 소액결제 사고 이면에는 KT 관리 부실이 있었다는 게 조사단 측 설명이다. 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석했는데, 이들 기기에 KT 망 접속에 필요한 KT 인증서 및 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제삼의 장소로 전송하는 기능이 있음이 확인됐다.

무단 소액결제범은 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 상품권 구매 사이트에 접속, 상품권 구매를 시도한 것이다. 이 과정에서 필요한 인증정보(ARS·SMS)는 암호화가 풀리면서 범죄가 완성될 수 있었다. 심지어 인증정보뿐 아니라 피해자의 문자나 통화 내용이 유출되는 일도 가능한 것으로 확인됐다.

조사단은 "KT의 펨토셀 관리 체계가 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다"며 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 요구했다.

모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 이를 복사하면 정상 펨토셀이 아니더라도 KT 망에 접속할 수 있었고 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었으며 정상 정보인지 검증 체계도 없었기 때문이다.

과기정통부는 일련의 사고 원인이 KT의 관리 부실에 있는 만큼, 전 고객 대상 위약금 면제 사유가 된다고 판단했다. KT 이용약관은 '기타 회사의 귀책 사유'로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.

이런 판단에는 조사단이 5개 기관에 의뢰한 법률자문이 영향을 줬다. 이 가운데 네 곳은 이번 침해 사고를 KT의 과실로 판단했고 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 다만 나머지 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 냈다.

류제명 과기정통부 2차관은 이날 브리핑에서 "위약금 면제 범위와 소급 기준 등은 지난 SK텔레콤 사례와 같이 KT가 소비자들 또 국민 눈높이에 맞춰서 적절한 판단을 할 것으로 기대한다"고 말했다.

이에 대해 KT 관계자는 "조사단 결과 발표를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정"이라고 말했다.

조사단은 이날 LG유플러스의 침해사고에 대한 조사 결과도 함께 발표했다. 앞서 익명 제보자의 침해사고 정황 제보에 대한 사실관계 파악에 나선 것이다. 다만 회사의 허위자료 제출 및 서버폐기 등으로 인해 확인이 불가능했다. 이에 따라 과기정통부는 LG유플러스에 대해 위계에 의한 공무집행 방해로 수사를 의뢰했다. LG유플러스 관계자는 "경찰 수사에 성실히 임하겠다"고 했다.

배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다.