KT 모든 가입자 도·감청 노출…"위약금 면제해야"

(서울=뉴스1) 이기범 기자 = 펨토셀 관리 부실로 KT 모든 가입자의 문자, 음성 통화 탈취가 가능했던 것으로 나타났다.

정부는 이번 소액결제 사태 귀책 사유가 KT에 있다고 보고 전체 고객 대상으로 위약감을 면제해야 한다고 권고했다.

과학기술정보통신부는 29일 KT 침해 사고 민관합동조사단 조사 결과 및 위약금 면제 규정 검토 결과를 발표했다.

과기정통부는 이번 침해 사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 검토하기 위해 법률 자문을 진행했다. KT는 이용약관을 통해 회사의 귀책 사유인 경우 위약금 납부 의무가 면제된다고 규정하고 있다.

총 5개 기관을 통해 법률 자문을 진행한 결과 4개 기관에서는 KT의 과실로 판단했다. 펨토셀 관리 부실이 전체 이용자의 안전한 통신서비스 제공이라는 계약 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견이다. 나머지 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시했다.

이날 소액결제 피해 규모는 총 368명(777건), 2억 4319만 원으로 확정됐다. 펨토셀 접속해 개인정보 유출 정황이 확인된 가입자는 2만 2227명이다. 지난 10월 17일 KT가 발표한 피해 규모 그대로다.

과기정통부는 이번 침해 사고에서 KT의 펨토셀 관리 문제 등 과실이 확인됐으며, 이 과정에서 정보통신망법을 위반한 사실도 있다고 강조했다. 또 안전한 통신 서비스 제공이라는 의무를 위반했다고 판단했다.

무엇보다 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 봤다.

통신 과정에서 이용자 단말기와 KT 내부망 사이 구간의 송수신되는 정보는 종단 암호화(보내는 사람부터 받는 사람까지 데이터를 암호로 잠그는 것)가 이뤄졌어야 하지만 불법 펨토셀에 의해 종단 암호화가 해제돼 결제 인증 정보(ARS·SMS)가 전송됐다.

즉 불법 펨토셀을 악용해 KT 모든 이용자의 송수신 문자, 음성 통화 정보를 탈취할 수 있는 환경이었다는 의미다.

과기정통부는 "이번 침해사고에서 KT의 과실이 발견된 점, KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다"고 강조했다.

Ktiger@news1.kr