정부 “안전한 통신 의무 위반”…KT 위약금 면제 가능 판단 작성일 12-29 9 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="0TODEWSrTK"> <h3 contents-hash="2e89dbc19e66d35320a9991f0a039792856e00baffdfeda31a12b4e7c282ce5f" dmcf-pid="piQfVLd8Wb" dmcf-ptype="h3"><strong>KT·LGU+ 침해사고 조사 결과 브리핑<br>KT 수용 여부 주목…“확정되는 대로 발표”</strong></h3> <div contents-hash="ad426534bf94d497ab1a4a9e8e43cdbe5e2fd4bc18717e593f1982e539903cd8" dmcf-pid="Unx4foJ6lB" dmcf-ptype="general"> <br> </div> <figure class="figure_frm origin_fig" contents-hash="432399f8308e0e93f5cb4fbe1b02a5ffffe1b73211a626c36a7c649d9d353bf4" dmcf-pid="uLM84giPCq" dmcf-ptype="figure"> <p class="link_figure"><img alt="과학기술정보통신부 류제명 제2차관이 29일 정부서울청사에서 KT·LGU+ 침해사고 조사 결과 브리핑을 하고 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202512/29/dt/20251229174506031jddx.jpg" data-org-width="640" dmcf-mid="31FXHBu5v9" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202512/29/dt/20251229174506031jddx.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 과학기술정보통신부 류제명 제2차관이 29일 정부서울청사에서 KT·LGU+ 침해사고 조사 결과 브리핑을 하고 있다. </figcaption> </figure> <div contents-hash="a1f9eccc019fbfbbb5a9cc228ce15c99a361a8f6832571bd71f10438c3f43dc1" dmcf-pid="7oR68anQWz" dmcf-ptype="general"> <br> 정부가 펨토셀(소형 기지국) 관리 부실로 무단 소액결제 사고가 벌어진 KT에 대해 전 이용자를 대상으로 위약금을 면제해야 한다는 판단을 내렸다. 불법 펨토셀로 인해 통신 암호화가 무력화되고 개인정보·결제 인증 정보 탈취 위험에 전체 이용자가 노출됐다는 점에서 KT가 계약상 주된 의무인 ‘안전한 통신서비스 제공’을 다하지 못했다는 결론이다. </div> <p contents-hash="75e1320a44f0815a7e7929798c3c12e3e0a01babce97cdfafe965175c12dc8ae" dmcf-pid="zgeP6NLxh7" dmcf-ptype="general">과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과와 함께 KT 이용약관상 위약금 면제 규정 적용 여부에 대한 법률 검토 결과를 발표했다.</p> <p contents-hash="1d2d2f2d27601820613413d977d6082d86c567769adf1c4a6da8328eb3848157" dmcf-pid="qadQPjoMTu" dmcf-ptype="general">조사 결과 KT 침해사고는 펨토셀 관리 체계의 전반적인 부실에서 비롯된 것으로 확인됐다. KT에 납품되는 모든 펨토셀에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정하는 등 관리가 허술해 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었던 것으로 드러났다. 이 과정에서 통신 암호화가 해제돼 결제 문자(SMS)·음성통화(ARS) 인증 정보가 탈취될 수 있는 구조적 취약점도 노출됐다.</p> <p contents-hash="367a3272bb633b5475a5bc489c8ce13caeda99b6129325432756b9ba11a42c83" dmcf-pid="BNJxQAgRSU" dmcf-ptype="general">이 사고로 2만 2227명의 가입자 식별번호(IMSI)·단말기 식별번호(IMEI)·전화번호 등 가입자 정보가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해를 입은 것으로 집계됐다. 또한 KT 전체 서버 점검 결과 94대 서버에서 103종의 악성코드가 발견됐으며, 일부 악성코드는 지난해 3~7월 발견 후에도 정부에 신고하지 않은 사실이 확인됐다.</p> <p contents-hash="031f749d1414e37b74384d1d2fdc932f0f107f3eb10b5599c0a42ae8fa405ac6" dmcf-pid="bjiMxcaeyp" dmcf-ptype="general">조사단은 운영 중인 시스템의 로그기록 보관기관이 1~2개월에 불과해 침해사고 최초 침투시점, 악성코드 감염방법 등 사고원인을 상세히 파악하는 데 한계가 있었다고 밝혔다. 로그기록이 남아있는 기간에는 유출 정황이 없는 것으로 확인됐지만 그전에 유출이 있었는지 여부 등은 확인할 수 없는 상황이다.</p> <p contents-hash="9ef71df3c81a18ae27624894929549a08079ccc77b640440b30c927b0aa137ea" dmcf-pid="KAnRMkNdy0" dmcf-ptype="general">류제명 과기정통부 2차관은 “로그가 남아 있는 기간에는 유출이 안 됐다는 것이 확인됐지만 그 이전에도 유출이 안 됐다고 단정할 수는 없다는 것이 조사단의 판단”이라고 말했다.</p> <p contents-hash="b71fa938459c692326b771a47af11fce51f9bd78d29951a00c5cba63c05aa07c" dmcf-pid="9cLeREjJC3" dmcf-ptype="general">정부는 법률 자문을 거쳐 이번 사고가 KT 이용약관상 ‘기타 회사의 귀책 사유’에 해당한다고 판단해 이용자가 계약을 해지할 경우 위약금 면제가 가능하다고 결론내렸다. 펨토셀은 단말과 통신사 내부망을 연결하는 핵심 장치로, 관리 부실로 인해 이용자가 통신 탈취 위험에 노출됐다는 점에서 계약의 본질적 의무를 위반했다는 설명이다.</p> <p contents-hash="06126db87e3cf5f29fe7e63c41da23b08d8e6de027f85decb05e0c1c53aff418" dmcf-pid="2kodeDAiyF" dmcf-ptype="general">다만 위약금 면제는 KT가 정부의 결정을 수용해야 실제로 시행된다. KT 측은 이와 관련해 “민간합동조사단 결과 발표를 엄중히 받아들이며, 고객 보상과 정보 보안 혁신 방안이 확정되는 대로 조속히 발표할 예정”이라고 말했다. 앞서 SK텔레콤은 유심 해킹 사고 당시 정부 발표 당일 위약금 면제를 포함한 ‘책임과 약속’ 프로그램을 발표하고, 향후 5년간 7000억 규모의 정보보호 투자 계획과 위약금 면제 내용 등을 내놓은 바 있다.</p> <p contents-hash="185fecb16287dbc3bd54669c0b245b155bae6c04f8c9854efcffdcae79ce3bb8" dmcf-pid="VgeP6NLxlt" dmcf-ptype="general">류 차관은 “정부가 지금 말씀드릴 수 있는 것은 KT 전체 이용자를 대상으로 한 위약금 면제가 필요하고 (해킹 사고가) 면제 사유에 해당한다는 것”이라며 “기간 등 세부 사항은 지난번 SK텔레콤 사례와 같이 KT가 소비자들, 또 국민 눈높이에 맞춰 적절한 판단을 할 것으로 기대한다”고 했다.</p> <p contents-hash="f8770afaa3fa5dfdff48b2e25e930ac8acf0d6444cc0f66af7de011a31234e97" dmcf-pid="fadQPjoMW1" dmcf-ptype="general">정부는 KT에 대해 펨토셀 보안 강화, 종단 암호화 설정 개선, 보안장비 도입, 로그 보관기간 연장, 정보보호최고책임자(CISO) 중심 거버넌스 확립 등 재발 방지 대책 이행을 요구하고, 침해사고 신고 지연·미신고에 대해서는 과태료를 부과할 예정이다. 일부 조사 방해 행위에 대해서는 형사 수사도 의뢰했다.</p> <p contents-hash="4c9063add07ec9db1a53cb0bdc733fc6f1033520c502555688486db8d4a65e1e" dmcf-pid="4NJxQAgRl5" dmcf-ptype="general">한편 LG유플러스 침해사고는 익명의 제보자로부터 입수한 자료를 바탕으로 일부 유출 정황은 확인했으나, 관련 서버의 OS 재설치·폐기 등으로 인해 조사가 불가능한 것으로 드러났다. 조사단은 해당 조치가 부적절하다고 판단해 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다.</p> <p contents-hash="9d13f7ac23c4b5678c28a2159229e669ad6a6086c0cb4d1b9ba8b0c27e61049e" dmcf-pid="8jiMxcaeWZ" dmcf-ptype="general">과기정통부 최우혁 네트워크정책실장은 “향후 수사 당국에서 새로운 사항이 확인될 경우 조사를 재개할 수 있겠지만 KT와 LG유플러스 모두 현 단계에서는 더 이상의 조사를 진행하기 어렵다고 판단해 종결한다”고 말했다.</p> <p contents-hash="e8d2e2bd274665bedc37ec44a6fda19e1ab0fa4042f7b1a580795adc0abe6a54" dmcf-pid="6AnRMkNdyX" dmcf-ptype="general">이에 대해 LG유플러스 측은 “경찰 수사에 성실히 임하겠다”는 입장을 밝혔다.</p> <p contents-hash="355eeb25e27c1e0b67c72dd8112fcac3693d0194b2c703e619fdbcaff6ca8887" dmcf-pid="PcLeREjJhH" dmcf-ptype="general">이혜선 기자 hslee@dt.co.kr</p> </section> </div> <p class="" data-translation="true">Copyright © 디지털타임스. 무단전재 및 재배포 금지.</p> 관련자료 이전 정부 “KT 해킹, 회사 귀책…위약금 면제해야” 12-29 다음 1000만명 이상 개인정보 유출되면 ISMS 인증 취소된다 12-29 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
