과기정통부 “KT 침해사고 회사 귀책…위약금 면제해야”

[한국금융신문 정채윤 기자] KT 무단 소액결제 해킹 사고에 대해 정부가 “침해사고에 과실이 있고, 안전한 통신서비스를 제공해야 할 의무를 다하지 못 했다”면서 “전체 이용자 대상 위약금을 면제해야 한다”고 판단했다.

과학기술정보통신부는 29일 KT 침해사고에 대한 민관합동조사단 조사 결과를 발표하며 이같이 밝혔다.

앞서 과기정통부는 이번 침해 사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 검토하기 위해 법률 자문을 진행했다. KT는 이용약관을 통해 회사의 귀책 사유인 경우 위약금 납부 의무가 면제된다고 규정하고 있다.
과기정통부가 위약금 면제 규정 적용에 대해 총 5개 기관에 법률 자문을 진행한 결과 4개 기관에서 위약금 면제 적용이 가능하다는 의견을 냈다. 나머지 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시했다.

이날 과기정통부에 따르면 불법 초소형 기지국(펨토셀)을 활용한 소액결제와 개인정보 유출 사고 피해자는 2만2227명으로 확인됐고, 무단 소액결제 피해자는 368명(777건), 결제 규모는 2억4319만원으로 최종 집계됐다. 유출된 정보는 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호 등이다.

조사 결과 특히 불법 펨토셀은 언제 어디서든 KT 내부망에 접속할 수 있었으며, 결제 인증 정보 외에도 이용자 단말기에서 송·수신되는 문자와 음성통화 정보 탈취까지 가능했던 것으로 확인됐다.

과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 이러한 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했다.

과기정통부는 “기본적인 보안 조치 과정에서 명백한 문제점이 있었으며 KT가 정보통신망법을 위반한 사실도 확인했다”면서 사업자의 주의 의무를 다하지 못했을 뿐 아니라 관련 법령을 위반했으므로 KT가 과실이 있는 것으로 판단했다.

이어 “펨토셀 부실 관리로 인해 평문의 문자와 통화 탈취 위험성이 드러났고, 이는 전체 KT 이용자가 위험성에 노출됐던 것”이라며 “안전한 통신 서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다. 전체 이용자를 대상으로 KT 이용 약관상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다”고 말했다.

정채윤 한국금융신문 기자 chaeyun@fntimes.com