정부가 무단 소액결제 및 개인정보 유출 사태를 일으킨 KT가 전 고객 대상 위약금 면제를 시행해야 한다고 발표했다. KT는 이사회를 거쳐 위약금 면제 여부 및 고객 보상안을 최종 결정할 예정이다.
과학기술정보통신부는 29일 KT 침해사고 민관합동조사단의 최종 조사 결과를 발표하며 KT가 계약상 주된 의무를 다하지 못한 점을 고려해 위약금 면제 규정이 적용 가능하다는 의견을 밝혔다.
민관합동조사단은 조사 결과 이번 침해사고와 관련해 KT가 크게 불법 소형 기지국(불법 펨토셀) 관리 부실, 사용자 단말기와 KT 내부망 사이의 암호화 해제 문제 등에 있어 과실이 분명하고 계약상 안전한 통신서비스를 제공할 의무를 위반했다고 봤다.
과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부에 대해 법률 자문을 진행했고, 그 결과 한 곳을 제외한 4곳에서 “펨토셀 관리부실은 전체 이용자에 대한 안전한 통신서비스 제공이라는 계약의 주요 의무 위반으로 위약금 면제 규정 적용이 가능하다”는 의견을 제시했다.
조사단은 이번 사건의 원인이 된 불법 소형 기지국(불법 펨토셀)에 대한 KT의 관리 체계가 전반적으로 부실했다고 밝혔다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하면 정상 펨토셀이 아니더라도 KT망에 접속이 가능하다는 것을 확인했다. 내부망에 접속할 수 있는 KT 인증서 유효기간도 10년으로 설정돼 한 번이라도 접속한 이력이 있는 펨토셀은 계속 접속할 수 있다는 점도 문제점으로 꼽혔다.
더불어 통신 과정에서 이용자 단말기와 KT 내부망 사이의 송수신되는 모든 정보는 종단 암호화에 돼야 하지만 불법 펨토셀에 의해 일부 구간에서 암호화 해제가 가능했던 것으로 확인됐다. 평문의 문자, 음성통화 정보를 탈취할 수 있는 위험한 상황에 이용자가 노출됐다고 볼 수 있다.
다만 무단결제가 가능하기 위해 필요한 이름, 생년월일 등에 대한 추가 개인정보를 어떻게 빼냈는지는 밝히지 못했다. 당초 악성코드에 감염된 KT 내부 서버에서 유출된 것이 아니냐는 의혹이 있었지만 정밀 조사 결과 악성코드 103종에 감염된 94대의 서버에서 개인정보 유출 정황은 확인되지 않았다.
과기정통부는 KT가 침해사고 이후 신고를 뒤늦게 한 점에 따라 정보통신망법에 의거해 과태료를 부과할 예정이라고 밝혔다. 또 미국의 보안 전문 매거진 프랙이 제기한 KT 침해 정황 서버의 폐기 시점을 허위로 제출하고, 폐기 서버 백업 로그가 있음에도 조사단에 보고하지 않은 점 등에 고의성이 있다고 판단해 수사기관에 수사를 의뢰한 상황이다.
댓글 0