CloudPNG

ºC

logo
IT/바이오

“펨토셀 해킹에 전체 위약금 면제”…KT, 통신보안 부실 파문 확산

최하윤 기자
입력

KT 소액결제 해킹 사태가 통신보안 관리 전반의 구조적 문제로 번지면서, 정부가 KT 전체 이용자를 대상으로 한 위약금 면제를 공식 요구했다. 과학기술정보통신부 민관합동조사단은 KT 펨토셀 장비 관리 부실과 정보통신망법 위반 정황을 확인했고, 안전한 통신서비스 제공이라는 통신사업자의 핵심 의무를 지키지 못한 과실이 있었다고 결론냈다. 업계에서는 통신 인프라 보안 관리 미흡이 대규모 고객정보 위험으로 직결된 대표 사례로 보면서, 향후 통신 3사 전반에 대한 보안 규제와 투자 압박이 강화될 수 있다는 관측이 나온다.

 

과기정통부는 29일 KT 침해사고 조사 결과를 발표하며, 이번 사태가 KT 이용약관에 규정된 위약금 면제 조항 중 기타 회사의 귀책 사유에 해당한다고 판단했다고 밝혔다. KT 약관에는 회사의 책임 있는 사유로 이용자가 서비스를 해지할 경우 약정 해지에 따른 위약금을 면제하도록 명시돼 있다. 그동안 KT 고객과 소비자단체 사이에서는 번호이동을 선택하는 피해 이용자에게 위약금을 부과하는 것은 부당하다는 문제 제기가 지속돼 왔다.

정부는 판단의 객관성을 위해 조사단 결과를 토대로 5개 법률 자문 기관에 검토를 의뢰했다. 이 가운데 4곳이 펨토셀 관리 부실과 침해사고 대응 과정에서 KT의 과실이 인정된다고 보았고, 전체 이용자를 대상으로 한 안전한 통신서비스 제공 의무를 위반한 것으로 진단했다. 다만 한 곳은 실제 정보 유출이 확인된 이용자에 한해 위약금 면제가 가능하다는 의견을 제시해, 피해 범위를 둘러싼 해석 차이는 일부 남은 상태다.

 

핵심 쟁점이 된 펨토셀은 이용자 단말기와 KT 내부망을 직접 연결하는 소형 기지국 장비다. 실내 음영 지역 해소 등 품질 개선을 위해 널리 활용되지만, 인증서 관리와 외주 제작사 보안, 비정상 IP 접속 통제 등 기본적인 보안 체계가 무너지면 통신망으로 침투하는 관문이 될 수 있다. 조사 결과 KT는 펨토셀 인증서 관리, 외주사 보안관리, 비인가 IP 접속 모니터링, 장비 형상정보 검증 등 필수 보안 관리 절차에서 다수의 허점을 드러낸 것으로 나타났다.

 

특히 조사단은 불법 펨토셀이 언제든 KT 내부망에 접속할 수 있을 정도로 관리 체계가 부실했다고 지적했다. 불법 펨토셀에 연결된 단말기의 통신 트래픽을 캡처할 수 있었고, 이 과정에서 문자와 음성통화 내용이 평문 형태로 노출될 위험성이 확인됐다. 통신 구간에서 단말기와 사업자 내부망 사이의 종단 간 암호화가 유지됐어야 하지만, 불법 펨토셀을 통해 해당 암호화가 해제될 수 있는 구조가 방치됐다는 설명이다.

 

이 같은 구조적 취약점은 단순 소액결제 피해 이용자만의 문제가 아니라 KT 전체 이용자에게 잠재적 위험을 전가한 것으로 평가됐다. 일부 지역에서는 실제 문자와 통화 정보 탈취로 이어진 피해 사례도 확인됐다. 과기정통부는 통신 트래픽 평문 노출 위험이 광범위하게 존재했다는 점을 근거로, 피해 발생 여부와 관계없이 모든 가입자가 위험에 노출된 상황으로 봐야 한다고 정리했다.

 

조사단은 KT가 정보통신망법상 통신서비스 제공자의 보호조치 의무도 위반한 것으로 판단했다. 통신사업자는 안전한 통신서비스를 제공하기 위해 필요한 기술적, 관리적 조치를 취해야 하며, 이용자는 이를 전제로 통신 계약을 체결한다. 정부는 통신서비스가 국민 일상 전반의 기반 인프라로 작동하는 만큼, 안전한 통신서비스 제공은 단순한 품질 요소를 넘어 계약상의 주된 의무에 해당한다고 강조했다.

 

이에 따라 과기정통부는 두 가지 축에서 KT의 책임을 명확히 했다. 첫째, 펨토셀 보안조치 미흡과 관련 법령 위반으로 해킹 가능성을 방치한 점에서 KT의 명백한 과실이 존재한다는 점, 둘째, 전체 이용자를 대상으로 한 안전한 통신서비스 제공 의무를 제대로 이행하지 못함으로써 계약상 주요 의무를 위반했다는 점이다. 이 조합이 KT 귀책을 전제로 한 이용약관 위약금 면제 조항을 발동할 조건을 충족한다는 결론으로 이어졌다.

 

이번 결정은 통신 인프라 보안 사고가 단순 과징금 수준을 넘어 약정 계약 구조와 수익 모델에도 직접적인 영향을 미칠 수 있음을 보여준다. 위약금 면제는 장기 약정 기반의 수익 안정성에 타격을 줄 수 있고, 대규모 번호이동 유출로 이어질 경우 시장 점유율에도 변수를 만들 수 있다. 반대로 이용자 입장에서는 사업자 과실이 명확한 보안 사고 발생 시 계약 해지 비용 부담 없이 사업자를 변경할 수 있는 길이 열리는 셈이다.

 

통신업계 전반에는 경고등이 켜졌다는 평가가 뒤따른다. 펨토셀과 같은 액세스 장비는 5G, 사설망, 사물인터넷 확대 과정에서 폭발적으로 늘고 있다. 관리 주체가 통신사와 외주사, 장비사가 복잡하게 얽혀 있어 보안 책임 경계가 모호해지는 구조도 반복 지적돼 왔다. 이번 사례에서처럼 인증서 관리와 외주 보안 통제 실패가 직접적인 해킹 통로가 된 만큼, 장비 라이프사이클 전 구간에 걸친 보안 거버넌스 재정비가 불가피하다는 분석이 나온다.

 

글로벌 통신 시장에서도 네트워크 장비 보안과 이용자 보호 의무를 둘러싼 규제 강화 흐름은 뚜렷해지고 있다. 유럽과 북미에서는 통신사업자 망 침해 사고 발생 시, 기술적 책임뿐 아니라 고객 보호 조치와 계약상 구제 수단까지 포괄적으로 검증하는 사례가 늘고 있다. 한국에서는 이번 KT 사례가 향후 정보통신망법, 전기통신사업법 등 관련 법령 개정과 통신서비스 표준 약관 개선 논의의 계기가 될 수 있다는 전망도 제기된다.

 

과기정통부는 KT에 대해 추가적인 행정처분과 재발방지 대책 이행 여부를 점검하는 한편, 통신망 보안 관리 기준과 점검체계를 전반적으로 손보겠다는 방침이다. 통신업계와 보안 전문가들은 네트워크 장비 보안 문제가 더 이상 기술 부서 차원의 이슈에 머물 수 없다고 지적하면서, 경영진 수준의 리스크 관리와 이용자 보호 정책이 동반되지 않을 경우 유사 사고가 반복될 수 있다고 우려하고 있다. 산업계는 이번 조치가 실제로 KT 위약금 면제와 보안 투자 확대로 이어질지, 그리고 통신 인프라 신뢰 회복의 분기점이 될지 지켜보고 있다.

최하윤 기자
share-band
밴드
URL복사
#kt#과학기술정보통신부#펨토셀