[서울=뉴시스]윤현성 박은비 기자 = 정부가 KT 소액결제 해킹 사태와 관련해 KT가 전체 이용자를 대상으로 약관상 위약금을 면제해야 한다는 결론을 내렸다. 이번 고객정보 침해 사고에서 KT의 과실이 발견됐고, 안전한 통신서비스 제공 의무도 다하지 못한 것으로 판단됐다.

과학기술정보통신부는 29일 KT 침해사고에 대한 민관합동조사단 조사 결과를 브리핑하며 KT 이용약관 상 위약금 면제 규정 적용 여부도 함께 발표했다.

◆KT, 펨토셀 관리 부실에 정보통신망법 위반까지…해킹사태 과실 명백

올해 불법 펨토셀을 활용한 KT 고객정보 유출 및 소액결제 피해 사태가 나타나면서 업계와 KT 고객들 사이에서는 다른 통신사로 번호이동을 할 경우 KT가 약정해지 위약금을 면제해야 한다는 지적이 나왔다. KT 이용약관은 '기타 회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.

이에 과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부 검토를 위해 법률 자문을 진행했다. 조사단의 조사결과를 바탕으로 법률 자문(5개 기관)을 진행했으며, 대부분 법률 자문 기관(4개 기관)에서는 이번 침해사고를 KT의 과실로 판단했다.

특히 법률 자문 기관들은 펨토셀 관리 부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 법률 자문기관 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시하기도 했다.

과기정통부는 이번 침해사고로 이용자가 계약 해지 시 KT의 이용약관상 위약금이 면제되는 ʽ기타 회사의 귀책 사유ʼ에 해당하는지에 대해 ▲침해사고에서 KT 과실 여부 ▲전체 이용자에게 통신서비스를 제공(계약상)하는데 있어 주된 의무를 위반했는지 여부를 중점적으로 판단했다.

조사단의 조사결과에 따르면 이번 침해사고와 관련해 KT에 펨토셀 인증서 관리, 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었다. 이 과정에서 KT가 정보통신망법을 위반한 사실도 확인됐다.

KT가 안전한 통신서비스 제공을 위한 펨토셀 관리와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못한 것이다. 이에 더해 KT가 관련 법령까지 위반했으므로 과기정통부는 이번 침해사고에서 KT의 과실이 있는 것으로 판단했다.◆펨토셀 관리 전반 부실로 언제든 불법 펨토셀이 내부망 접속 가능…전체 이용자 위험 노출시켜

과기정통부는 조사단의 조사결과, KT의 입장, 법률자문 결과 등을 종합적으로 검토해 KT가 이용자에게 통신서비스를 제공함에 있어 계약상 주된 의무를 위반했는지 여부를 판단했다.

정보통신망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며, 국민 일상생활 전반이 통신서비스를 기반으로 이뤄지고 있는 점을 고려할 때 이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호조치를 할 것으로 기대할 수 있다. 따라서 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있다.

이번 침해사고에서 KT가 부실하게 관리한 것으로 확인된 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 장치로, 안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소다.

조사결과에 따르면 KT는 펨토셀 관리 전반이 부실해 불법 펨토셀이 언제, 어디서든 KT 내부망에 접속할 수 있었다. 또 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했던 사실도 확인됐다.

아울러 통신과정에서 이용자 단말기와 KT 내부망 사이 구간의 송·수신 되는 정보는 종단 암호화가 이뤄졌어야 하나, 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인됐다. 이는 통신 트래픽 캡쳐가 가능한 불법 펨토셀에서 이용자가 송·수신하는 평문의 문자, 음성통화 정보를 탈취할 수 있는 위험한 상황에 이용자가 노출된 것이며 실제 일부 지역에서 피해도 발생했다.

과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것이라는 결론을 내렸다.

또 KT가 침해사고를 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 판단했다.

이에 과기정통부는 ▲이번 침해사고에서 KT의 과실이 발견된 점 ▲KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.


◎공감언론 뉴시스 hsyhs@newsis.com, silverline@newsis.com