정부 'KT 침해사고 과실 인정…위약금 면제해야'

전체서비스

문화·스포츠

서경스타

스페셜 컨텐츠

이용안내

보내는 사람
받는 사람	※ 여러명에게 보낼 경우 콤마(,)로 구분하세요.

보내는 사람

받는 사람

※ 여러명에게 보낼 경우 콤마(,)로 구분하세요.

정부 "KT 침해사고 과실 인정…위약금 면제해야"

입력2025-12-29 14:00:26 수정 2025.12.29 14:00:26 서지혜 기자

정부가 KT 침해사고와 관련해 이용자가 계약 해지를 원할 경우 위약금을 면제해야 한다는 방침을 내놨다. 불법 펨토셀로 인한 소액결제 사고 발생 원인이 KT의 관리 체계 부실에 있다는 판단이다. 또한 침해사고 신고를 미루고 회피한 데 대한 과태료도 부과할 계획이다.

과학기술정보통신부는 29일 정부서울청사에서 KT·LG유플러스 침해 사고에 대한 민관합동조사단 조사 결과를 공개하고 이같이 밝혔다.

KT 펨토셀 관리 전반적 부실…암호화 해제 가능성도 확인

정부는 이번 침해 사고에서 KT의 과실이 명확하고, 이로 인해 기업이 계약상 주된 의무인 ‘안전한 통신 서비스 제공 의무’를 위반한 것으로 판단했다. 불법 펨토셀로 인한 소액결제·개인정보 유출 사고, 인증서 유출 정황 제보, 서버 침해 의심 정황 등 3건을 종합 조사한 결과에 다르면 KT에서는 가입자 식별번호(IMSI)·단말기 식별번호(IMEI)·전화번호 등 2만2227명의 정보가 유출됐다. 또한 368명(777건)이 무단 소액결제로 2억4300만 원의 피해를 입었다. 해당 수치는 KT가 자체 산정해 발표한 규모와 일치한다. 다만 과기정통부는 “통신결제대행 기록이 남아 있지 않은 일부 기간에 대해서는 추가 피해 확인이 불가능하다”고 말했다.

또한 조사단은 “KT는 펨토셀 관리 체계가 전반적으로 부실했다”는 결론을 내놨다. 조사 결과에 따르면 KT의 모든 펨토셀 제품은 동일한 제조사 인증서를 사용해 복사만 하면 정상 장비가 아니어도 내부망 인증을 통과할 수 있는 구조였고, KT 인증서 유효기간도 10년으로 길어 한 번 접속 이력이 있으면 장기간 내부망 접근이 가능했다. 비정상 IP 차단 펨토셀 고유번호·설치지역 등 형상정보 검증도 미흡했다. 펨토셀 제작 과정에서도 외주사에 중요정보가 보안관리 체계 없이 제공돼 저장장치에서 손쉽게 추출 가능한 점이 확인됐다.

원칙적으로 단말~코어망 구간에서 종단 암호화(IPSec)가 유지돼야 하는데 불법 펨토셀 환경에서 암호화 해제 가능성도 확인됐다. 이 경우 ARS·SMS 등 결제 인증정보가 평문으로 노출될 수 있고, 일부 단말에서는 설정 지원 미비로 SMS 평문 전송 문제가 확인돼 KT가 조치하도록 했다고 정부는 밝혔다. 조사단은 “평문의 문자·음성통화 탈취 위험성은 일부 피해자에 국한되지 않고 KT 전체 이용자가 위험에 노출된 상황”이라고 설명했다.

법률자문 5곳 중 4곳서 “위약금 면제 가능” 의견…공무집행방해 혐의 수사 의뢰도

조사단은 “이러한 조사 결과를 토대로 법률자문 5개 기관에 위약금 면제 적용 가능성을 물었고, 4개 기관이 ‘KT 과실’ 및 ‘계약상 주요 의무 위반’에 해당해 면제 가능하다는 의견을 냈다”고 밝혔다. 1개 기관은 정보 유출이 확인되지 않은 이용자에게 적용이 어렵다는 견해를 제시했지만, 조사단은 종합적으로 위약금 면제 사유가 성립한다고 결론 내렸다. 아울러 KT의 침해사고 지연 신고·미신고에 대해서도 정보통신망법에 따라 과태료를 부과할 계획이며, 조사 과정에서의 허위 제출 등은 공무집행방해 혐의로 수사의뢰했다. 조사단은 KT에 내년 1월 이행계획을 제출받고, 4월까지 이행 후 6월까지 점검할 계획이다.

LG유플러스 위계에 의한 공무집행 방해…"침해 사고 이후 OS 재설치 및 폐기

이날 조사단은 LG유플러스와 관련한 조사 결과도 발표했다. 한국인터넷진흥원(KISA)은 지난 7월 제보자로부터 LG유플러스 자료 유출 관련 정보를 입수하고 침해 사고를 안내한 바 있다. 이후 과기정통부는 자체 조사단을 구성해 현장 조사를 실시했다. 조사 결과 LG유플러스에서는 제보자가 주장한 대로 통합 서버 접근제어(APPM) 관련 서버목록·계정정보·임직원 성명 등이 실제 유출된 사실이 확인됐다. 다만 유출 경로로 지목된 일부 서버가 OS 업그레이드·재설치 또는 폐기돼 포렌식이 어려워졌고, 협력사 해킹을 통한 침투 주장 역시 핵심 경로가 사라져 확인이 불가능한 것으로 나타났다. 조사단은 LG유플러스의 관련 서버 OS 재설치 및 폐기 행위가 KISA가 침해 사고 정황을 안내한 이후에 이루어진 점을 고려해 이를 부적절한 조치로 판단한고 ‘위계에 의한 공무 집행 방해’로 판단, 경찰청에 수사를 의뢰했다.