CloudPNG

ºC

logo
IT/바이오

"KT 해킹 사태 후폭풍"…정부, 위약금 면제 압박에 통신보안 재정의

허예린 기자
입력

소액결제 해킹에서 촉발된 KT 침해사고가 통신 보안과 이용자 보호 기준을 뒤흔들고 있다. 정부가 KT의 관리 부실과 계약상 의무 위반을 공식 확인하며 전체 이용자를 대상으로 한 위약금 면제 필요성을 제기했다. 통신사가 단순 네트워크 사업자를 넘어 보안 책임 주체로 재규정되는 분기점이라는 평가가 나온다. 향후 약관과 규제 수준이 동반 상향될 경우, 통신 업계 전반의 보안 투자와 리스크 관리 패턴이 바뀔 가능성이 주목된다.

 

과학기술정보통신부는 29일 민관합동조사단의 KT 침해사고 조사 결과를 발표하고, KT 이용약관에 규정된 위약금 면제 조항을 전체 가입자에 적용할 필요가 있다고 밝혔다. 이번 결정은 개별 피해자 보상을 넘어, 잠재적 피해 위험에 노출된 전체 고객을 보호 범위로 인정한 첫 사례라는 점에서 의미가 크다. 조사단은 이번 사태에서 KT의 과실이 확인됐고, 통신서비스 제공자로서 안전한 서비스 제공 의무를 다하지 못했다고 판단했다.

사건의 핵심으로 지목된 펨토셀은 이용자의 휴대전화와 KT 내부망을 연결하는 소형 기지국 장치로, 실내 통화 품질 개선과 트래픽 분산에 활용되는 인프라 장비다. 조사 결과 KT는 이 펨토셀의 전반적인 관리 체계가 허술해 인증되지 않은 불법 펨토셀이 언제 어디서든 내부망에 접속할 수 있는 구조를 방치한 것으로 드러났다. 통신 인프라의 엣지 장비가 사실상 공격자의 내부 진입 경로로 열려 있었던 셈이다.

 

민관합동조사단은 불법 펨토셀을 통해 통신 트래픽을 캡쳐할 수 있었고, 여기에 연결된 이용자 단말기에서 오가는 문자 및 음성통화 정보가 평문 상태로 탈취될 수 있었다고 밝혔다. 암호화나 추가적인 보안 장치 없이 펨토셀을 경유하는 구간에서 민감한 통신 내용이 노출될 수 있었던 구조적 취약점이 확인된 것이다. 결과적으로 소액결제 피해 사례는 빙산의 일각에 불과하며, 실제 피해가 가시화되지 않은 이용자들도 상당 기간 위험 상황에 놓여 있었던 것으로 평가된다.

 

과기정통부는 KT의 펨토셀 부실 관리가 특정 피해 계정이나 소액결제 이용자 그룹에 국한되지 않고, KT 전체 가입자에게 광범위한 위험을 야기한 것으로 결론 내렸다. 특히 문자와 음성통화가 평문으로 탈취될 수 있는 환경은 통신 비밀 보호 원칙을 정면으로 훼손하는 수준으로, 통신사업자의 최소 보안 의무 기준을 하회하는 것으로 봤다. 계약상 이용자에게 안전한 통신서비스를 제공해야 할 주된 의무를 이행하지 못했다는 지적이다.

 

이번 판단을 통해 KT 이용약관에 포함된 위약금 면제 규정 적용 범위도 쟁점으로 떠올랐다. 정부는 약관상 위약금 면제는 서비스 장애나 중대한 하자로 인해 이용자가 계약을 유지하기 어려울 때 적용할 수 있는 조항이라며, KT의 보안 관리 실패가 여기에 해당한다고 봤다. 실제로 전체 이용자가 잠재적 정보 탈취 위험에 노출됐다는 점을 감안하면, 해지 시 위약금을 부과하는 것은 부당하다는 논리다.

 

통신업계에서는 이번 조치가 선례가 돼 향후 대형 보안 사고 발생 시 통신사 전반에 걸친 위약금 면제나 집단적 계약 해지 요구로 이어질 수 있다고 보고 있다. 이는 통신사의 보안 투자 비용과 리스크 관리 전략에 직접적인 영향을 줄 수 있는 변수다. 특히 5G와 사설망, 사물인터넷 기기 등 네트워크 엣지 단에서 다양한 장비가 접속하는 환경에서는 펨토셀과 유사한 구조적 취약점이 반복될 수 있어, 보안 아키텍처 전반 재점검이 필요하다는 지적도 제기된다.

 

해외에서는 통신 인프라 보안 강화를 위해 네트워크 슬라이싱, 종단 간 암호화, 제로트러스트 기반 접속 통제 등 다양한 기술이 정책과 함께 도입되고 있다. 반면 국내에서는 주로 통신 중단이나 품질 저하에 대한 이용자 보호 규정이 부각돼 왔고, 통신 인프라 보안 실패를 이유로 전체 이용자 위약금 면제를 요구한 사례는 드물었다. 이번 결정으로 국내 통신 규제에서도 가용성뿐 아니라 기밀성과 무결성을 포함한 보안 수준이 핵심 심사 기준으로 떠오를 가능성이 있다.

 

전문가들은 이번 KT 사태를 계기로 통신사와 정부 모두 보안 거버넌스 체계를 재정립해야 한다고 보고 있다. 펨토셀과 같은 장비 도입 단계에서부터 인증, 패치 관리, 암호화 정책을 통합 설계하고, 침해사고 발생 시 영향 범위를 신속히 파악해 잠재 위험에 대한 공지와 보호조치를 조기에 시행하는 체계가 필요하다는 의견이 나온다. 한 정보보호 전문가는 통신 인프라는 국가 기반시설에 해당하는 만큼, 사업자 자율에만 맡기기보다 최소 보안 기준과 사고 시 이용자 보호 조치를 법제화하는 방안을 검토할 시점이라고 말했다.

 

정부는 조사 결과를 토대로 KT에 대한 행정조치와 재발 방지 대책을 검토하는 한편, 통신서비스 약관 상 이용자 보호 규정의 실효성을 높이는 방안도 병행해 추진할 계획이다. 통신사들은 보안 투자 확대와 함께 약관 구조 개편 압박을 동시에 받게 될 전망이다. 산업계는 이번 조치가 실제 위약금 면제로 이어지고 제도 개편까지 연결될지 지켜보는 분위기다. 결국 통신 인프라 보안과 이용자 권리 보호를 둘러싼 기술과 제도의 정합성이 새로운 성장의 조건이 되고 있다.

허예린 기자
share-band
밴드
URL복사
#kt#과학기술정보통신부#소액결제해킹