정부가 KT에 전 이용자 대상으로 위약금을 면제하라고 요구했다.

과학기술정보통신부(과기정통부)는 29일 정부서울청사에서 브리핑을 열고 지난 8~9월 발생한 ‘KT 이용자 무단 소액 결제 사건’과 관련해 “KT 전체 이용자를 대상으로 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다”고 밝혔다. 과기정통부가 민관합동조사단(조사단)의 조사 결과를 바탕으로 법률 자문을 받아 판단한 결과다.

류제명 과학기술정보통신부 2차관이 29일 서울 종로구 정부서울청사에서 KT·LGU+ 침해사고 최종 조사결과 관련 브리핑을 하고 있다. 뉴스1

조사단에 따르면 불법 펨토셀(초소형 기지국)을 이용한 침해 사고로 2만 2227명의 IMSI(가입자 식별번호), IMEI(단말기 식별번호), 전화번호가 유출되고 368명이 총 2억 4300억여원 규모의 무단 소액 결제 피해를 입었다. 류제명 과기정통부 제2차관은 “불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했던 사실이 확인이 됐다”며 “일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출된 만큼 전체 이용자를 대상으로 위약금을 면제해야 한다”고 말했다. 다만 실제 도·감청 등 음성 통화를 탈취한 흔적은 없었던 것으로 조사됐다.

또, 과기정통부는 KT가 서버의 악성코드 감염을 확인했음에도 신고하지 않은 점에 대해서도 정보통신망법에 따라 과태료를 부과하기로 했다. KT는 지난해 3~7월 자체 보안점검 과정에서 서버가 BPF도어(중국 해커 그룹이 만든 것으로 알려진 일종의 백도어), 웹셸(원격으로 서버에 접속할 수 있는 악성코드) 등 악성코드에 감염된 사실을 확인했으나, 자체적으로 삭제했다.

상반기 발생한 SK텔레콤 해킹사고 때와는 달리 KT에 영업 정지 조치 등은 취하지 않았다. 이에 대해 류 차관은 “SKT의 경우 기존 가입자 유심 교체에 사용될 유심 재고가 부족한 게 확인됐기 때문에 신규 영업 정지 행정 지도를 했던 것”이라며 “이번 KT 사고는 유심 교체 관련 조치를 해야 하는 요소가 확인되지 않았기 때문에 적용하지 않은 것”이라고 밝혔다.

정부는 이와 함께 지난 8월 미국의 보안 전문지 프랙에 공개된 서버 유출 관련 정부 조사를 방해한 혐의로 KT와 LG유플러스를 경찰에 수사 의뢰했다. 조사단은 KT가 관련 정보 폐기 시점을 허위 제출했다고 판단, 지난 10월 경찰에 위계에 의한 공무집행방해 혐의로 수사의뢰했다. LG유플러스에 대해서도 “APPM(패스워드 관리 솔루션) 서버로 이어지는 주요 서버 등이 모두 OS(운영체제) 재설치 또는 폐기돼 조사가 불가능했다”며 지난 9일 같은 혐의로 수사의뢰했다.

KT는 조사 결과에 대해 “엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정”이라고 밝혔다. LG유플러스 역시 “경찰 조사에 성실히 임하겠다”고 밝혔다.