과학기술정보통신부가 사이버 침해사고를 입은 KT가 위약금 면제를 하는 것이 합당하다는 판단을 내렸다.
류제명 과기정통부 제2차관은 29일 정부서울청사에서 브리핑을 열어 “침해사고에서 KT 과실이 발견된 점, KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다”고 밝혔다.
과기정통부는 민관합동조사단의 조사 결과를 바탕으로 5개 로펌에 법률 자문을 진행했다. 자문 결과 4개 기관에서 KT의 과실로 판단했다. 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이기 때문에 위약금 면제 규정 적용이 가능하다는 의견을 제시한 것이다.
1개 법률 자문 기관에서는 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시했다.
이에 따라 과기정통부는 ▲침해사고에서 KT 과실 여부 ▲전체 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반했는지 여부를 중점적으로 판단했다.
조사단의 조사결과에 따르면 이번 침해사고와 관련하여 KT에 펨토셀 인증서 관리, 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었으며 이 과정에서 KT가 정보통신망법을 위반한 사실도 확인됐다.
이에 따라 안전한 통신서비스 제공을 위한 펨토셀 관리와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했고 관련 법령을 위반했기데 KT 과실이라는 게 정부의 판단이다.
과기정통부는 이와 함께 KT가 이용자에게 통신서비스를 제공함에 있어 계약상 주된 의무를 위반했는지 여부를 판단했다.
정보통신망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며, 국민 일상생활 전반이 통신서비스를 기반으로 이뤄지고 있는 점을 고려할 때 이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호조치를 할 것으로 기대할 수 있다.
즉, 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있다.
KT가 부실하게 관리한 것으로 확인된 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 장치로, 안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소다.
관련기사
- KT 해킹 방지대책 재점검...과태료 부과, 경찰 수사2025.12.29
- KT도 위약금 면제 가능성...입법조사처 "사측 귀책사유 있다"2025.10.06
- 과기정통부 "KT 해킹, 모든 가입자 위약금 면제 사유"2025.12.29
- 배민 독주에 균열...새해 승부처는 ‘AI 효율화’2025.12.29
조사결과에 따르면 KT는 펨토셀 관리 전반이 부실해 불법 펨토셀이 언제, 어디서든 KT 내부망에 접속할 수 있었고 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했던 사실이 확인됐다. 또한 통신과정에서 이용자 단말기와 KT 내부망 사이 구간의 송수신 되는 정보는 종단 암호화가 이뤄졌어야 하나, 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인됐다.
과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출되었던 것으로 봤다. 또 KT는 침해사고를 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 판단했다.
