“KT, 인증배상 규정 개정”…소액결제 침해 사태 후 논란

KT의 전자서명 인증서비스에 대한 배상 규정이 무단 소액결제 침해 사건 직후 변경된 것으로 드러났다. 업계에 따르면 KT는 지난 8일, 광명 지역을 중심으로 벌어진 대규모 소액결제 침해사고 사실을 한국인터넷진흥원(KISA)에 신고한 당일, 전자서명인증 업무준칙 내 배상 관련 조항을 개정해 15일부터 적용할 예정이라고 밝혔다. 해당 사건으로 278건, 약 1억7000만원의 직접 금전 피해가 공식 집계되면서, 이번 조항 변경과 시점이 맞물려 책임 축소 논란이 가중되고 있다.

KT의 전자서명인증 업무준칙은 휴대폰 본인확인·인증서비스(PASS 앱 등) 전과정의 기준을 명확히 규정한 것으로, 본래 “KT는 전자서명인증시스템 암호 운영 전반에서 발생하는 보안 사고로 가입자 및 이용자에게 손해가 있을 경우 책임을 부담한다”고 명시해왔다. 최근 개정안에서는 “KT가 인증 시스템의 안전성과 관련해 충분한 기술적, 정책적 노력을 기울이지 않은 경우에 한해 배상책임을 진다”는 문구로 바뀌었고, 기존에는 명시됐던 ‘이용자 손해’에 관한 배상도 삭제됐다. 배상책임의 범위와 면책 사유가 정책적·기술적 노력에 따른 주관적 판단으로 좁아짐에 따라, 이용자의 실질적인 권리 보호가 약화될 수 있다는 업계 지적이 이어지고 있다.

소액결제 침해 사고의 원인으로는 미등록 불법 초소형 기지국에 의한 인증정보 탈취 가능성이 제기됐다. KT·과학기술정보통신부 등은 피해자의 통화 기록 분석 과정에서 8일 오후 미등록 기지국 접속 사실을 확인했고, 같은 날 오후 7시 16분 침해 사실을 신고했다. 민관합동조사단이 구체적 경위를 조사 중이며, 피해자 전체에 대해 금액 전액 청구 취소를 우선 결정했다.

소비자 입장에서 전자서명인증은 통신, 금융, 공공 서비스까지 연동된 핵심 신원확인 절차로, 신뢰성·안전성 확보가 필수다. 기존보다 배상 책임이 제한될 경우, 유사한 해킹이나 침해 사고 발생 시 소비자 보호가 더욱 취약해질 수 있다. 특히 KT는 인증서비스 시장에서 다수 점유율을 확보하고 있어, 규정의 변화가 업계 전반에 연쇄적인 영향을 미칠 가능성이 있다.

글로벌 수준에서도 전자서명 및 신원확인 서비스 제공자들은 피해보상 요건·책임 범위에 대한 엄격한 자율규정 또는 법적 기준을 도입해왔다. 미국·유럽 등 주요국은 소비자 보호 강화 차원에서 인증서비스 사업자 배상 기준을 엄격하게 관리하는 추세다.

규제기관은 이번 사건에 대해 민간-공공 조사 및 향후 제도 개선 방향을 예고한 상황이다. 전문가들은 통신·전자서명 인증 등 디지털 신원 보안 분야의 사고 대응과 피해 배상 기준에 있어, “기술적 안전성뿐 아니라 책임 범위를 명확화하는 별도 가이드라인 마련이 필요하다”고 분석했다.

산업계는 이번 규정 개정과 침해사고 후속조치가 국내 인증·결제 산업 신뢰성에 미칠 영향을 주목하고 있다. 기술과 서비스의 발전에 맞춰 소비자 보호·제도 개선의 균형을 다시 짜야 한다는 지적도 나온다.