CloudPNG

ºC

logo
IT/바이오

“펨토셀 감청 위기 재발 막겠다”…KT, 전고객 위약금 면제 카드

신채원 기자
입력

초소형 기지국 펨토셀을 악용한 통신망 침해사고가 국내 이동통신 인프라의 보안 취약성을 드러내며 통신 산업 전반의 신뢰를 흔들고 있다. 정부 민관합동조사단은 기술적 분석 끝에 “모든 이용자의 문자와 통화 감청까지 가능했던 상황”이라고 결론 내렸고, 통신 3사 중 기간통신망 핵심을 맡고 있는 KT에 전면적 책임을 물었다. KT는 전고객 위약금 면제와 대규모 보안 투자 계획을 동시에 내놓으며, 사고 수습을 넘어 네트워크 보안 패러다임 전환에 나서는 모양새다. 업계에서는 이번 사태를 5세대 통신 이후 ‘통신망 보안 경쟁’이 본격화되는 분기점으로 보는 시각이 확산되고 있다.

 

KT는 30일 서울 광화문 사옥에서 긴급 기자 브리핑을 열고 모든 가입자를 대상으로 한 위약금 면제와 고객 보답 프로그램, 정보보안 혁신 계획을 발표했다. 민관합동조사단이 전날 펨토셀 기반 침해사고 최종 결과를 공개한 직후다. 위약금 면제 대상은 지난 9월 1일부터 내년 1월 13일까지 KT 서비스를 해지했거나 앞으로 해지하는 고객이다. 김영섭 KT 대표는 “침해사고로 피해를 입은 고객들께 깊이 사과드린다”며 “조사 결과를 엄중하게 받아들이고 고객 피해와 불편을 최소화하기 위해 노력하겠다”고 말했다.

조사단은 불법으로 개조된 초소형 기지국인 펨토셀을 통해 KT 망에 비정상 접속이 이뤄졌고, 구조적으로 문자·통화까지 도청 가능한 수준의 위협이 존재했다고 분석했다. 펨토셀은 실내 통신 품질 개선을 위해 초소형 기지국을 설치하는 기술로, 이동통신 핵심망과 연결되는 만큼 인증과 접근 통제가 핵심인데, KT의 기기 관리와 접속 통제 체계가 부실했다고 지적했다. 과학기술정보통신부와 조사단은 “전체 이용자를 대상으로 위약금을 면제해야 한다”고 권고했고, KT가 이를 수용한 형태다.

 

위약금 면제는 환급 신청 방식으로 진행된다. 실제 면제 적용 기간은 31일부터 내년 1월 13일까지이며, 9월 1일 이후 이미 서비스를 해지한 고객도 내년 1월 14일부터 31일까지 환급을 신청하면 납부한 위약금을 돌려받을 수 있다. 신청은 KT 홈페이지, 고객센터, 전국 매장에서 가능하며 KT는 31일부터 대상 여부와 예상 위약금을 확인할 수 있는 전용 페이지를 열고, 개별 문자 안내도 병행할 예정이다. 환급은 해지일과 신청일에 따라 내년 1월 22일, 2월 5일, 2월 19일 세 차례에 걸쳐 순차적으로 이뤄진다.

 

다만 위약금 면제 범위에는 제한이 있다. 9월 1일 이후 신규 가입, 기기변경, 재약정 고객과 알뜰폰, 사물인터넷, 직권해지 고객은 대상에서 제외된다. KT는 “망 침해사고와 직접적으로 연관된 회선 및 기지국 이용 고객을 중심으로 보상 기준을 설계했다”고 설명했다. 신청 기간 내 미신청 고객에게는 3차례 개별 안내를 진행해 누락을 최소화하겠다는 방침이다.

 

KT는 위약금 면제 종료일인 내년 1월 13일 기준 전 고객을 대상으로 통신비 부담 경감을 골자로 한 ‘고객 보답 프로그램’도 함께 가동한다. 우선 데이터 제공량을 6개월 동안 매월 100GB씩 추가로 자동 제공해, 이용자 입장에서 가시적인 혜택을 체감할 수 있도록 설계했다. 이용정지 회선과 IoT, 선불폰은 제외된다. 해외 이용 고객을 위해서는 로밍 데이터 50퍼센트 추가 제공 프로그램을 6개월간 운영하고, 현재 진행 중이던 로밍 관련 이벤트도 내년 8월까지 연장한다.

 

콘텐츠 영역에서도 OTT 2종 중 하나를 선택해 6개월간 이용할 수 있는 이용권을 제공할 계획이다. 구체적인 서비스 대상과 제공 방식은 향후 별도 공지를 통해 안내된다. 여기에 커피, 영화, 베이커리, 아이스크림 등 생활 밀착형 제휴사의 멤버십 할인 혜택을 6개월간 확대 운영해, 실질적인 생활비 절감 효과를 노린다. KT는 “피해 보상의 성격과 함께 장기 고객에 대한 신뢰 회복 차원의 프로그램”이라고 설명했다.

 

보안 사고로 인한 불안 심리를 줄이기 위해 ‘안전 안심 보험’도 2년간 제공한다. 휴대전화 피싱·해킹 피해, 인터넷 쇼핑몰 사기, 중고거래 사기 등을 보상 대상으로 하는 상품으로, 특히 만 65세 이상 고령층 고객에게는 별도 신청 없이 자동 적용한다. 고령층은 디지털 금융과 통신 관련 피싱 피해 비율이 높은 취약 계층으로 꼽히는 만큼, KT가 이번 사태를 계기로 보안·안전 이미지를 다시 구축하려는 행보로 읽힌다.

 

핵심은 정보보안 체계의 근본적인 재설계다. KT는 전사 차원의 ‘정보보안 혁신 태스크포스’를 출범시키고 네트워크와 통신 서비스 전반의 관리 기준을 강화하기로 했다. 특히 장비와 서버, 공급망을 통합 관리해 취약 요소를 사전에 차단하는 구조를 마련한다는 계획이다. 공급망 보안은 통신 장비와 펌웨어, 관리 소프트웨어를 포함해 외부에서 유입되는 모든 요소를 단일 관제 체계에서 검증하는 개념으로, 5세대 이동통신과 사물인터넷 확산으로 복잡해진 네트워크 환경에서 글로벌 통신사들이 중점적으로 투자하는 분야다.

 

KT는 개인정보를 다루는 모든 시스템을 전수 점검하고, 개인정보 보호 조직과 정보보안최고책임자 중심의 책임 체계를 강화하겠다고 밝혔다. 경영진과 이사회가 정기적으로 보안 현황을 점검하고 보고받는 구조를 고도화해, 보안을 현장 실무 차원을 넘어 ‘전사적 책임’으로 끌어올리겠다는 구상이다. 이와 함께 외부 전문기관과 협력해 정기 점검과 모의 해킹을 수행하며, 과학기술정보통신부가 재발 방지 대책으로 요구한 수준 이상의 점검 체계를 갖추겠다고 강조했다.

 

중장기 계획의 축은 제로트러스트 보안 모델 도입이다. KT는 향후 5년간 1조원 규모의 정보보안 투자를 집행해 제로트러스트 체계를 단계적으로 확대할 방침이다. 제로트러스트는 모든 사용자와 기기, 접속을 기본적으로 신뢰하지 않고 매번 인증과 검증을 거치는 보안 원칙으로, 최근 글로벌 클라우드 사업자와 대형 통신사들이 채택하는 추세다. 특히 통합 보안 관제 고도화, 접근 권한 관리 강화, 암호화 확대 등을 통해 네트워크 내부 이동 경로까지 촘촘히 통제하겠다는 전략이다.

 

업계에서는 KT의 이번 발표를 두고 단기적인 보상 패키지와 함께, 통신사 보안 투자의 질적 전환 신호로 보고 있다. 미국과 유럽에서는 통신 인프라가 국가 기반시설로 분류되며, 침해 사고 발생 시 막대한 과징금과 규제 리스크가 동반된다. 유럽연합은 통신망에 대한 사이버보안 지침을 강화하고 있고, 미국도 통신 장비 공급망 리스크를 줄이기 위해 국방·정보기관과의 공조를 확대하는 추세다. 국내에서도 이번 펨토셀 사태를 계기로 이동통신사에 대한 기술·관리 책임 기준이 상향 조정될 가능성이 거론된다.

 

전문가들은 펨토셀과 같은 초소형 기지국, IoT 게이트웨이 등 엣지 장비가 늘어날수록 통신망 경계가 사실상 사라지기 때문에, 전통적인 ‘외곽 방어’ 방식으로는 보안 사고를 막기 어렵다고 지적한다. 제로트러스트, 공급망 보안, 상시 모의 해킹과 같은 고도화된 보안 체계가 통신 서비스의 기본 요건이 되는 흐름이 가속화될 수 있다는 관측도 나온다. 통신 인프라가 클라우드, 금융, 의료, 공공 서비스와 긴밀히 연결된 만큼, 사고 한 번이 산업 전반의 신뢰 위기로 확산될 위험도 커졌다.

 

통신업계 한 관계자는 “KT의 전체 고객 대상 위약금 면제와 대규모 보안 투자는 단기 비용 부담이 크지만, 발신번호 사기나 데이터 유출 등 반복되는 보안 이슈를 감안하면 결국 브랜드 신뢰 확보가 생존 조건이 되고 있다”고 말했다. 산업계는 KT의 보안 혁신 계획이 실제 네트워크 운영과 서비스 설계에 얼마나 깊게 반영될지, 그리고 이를 계기로 국내 통신망 보안 기준이 한 단계 높아질지에 주목하고 있다.

신채원 기자
share-band
밴드
URL복사
#kt#김영섭#펨토셀