최우혁 과학기술정보통신부 네트워크정책실장이 6일 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

정부 합동조사 결과 KT 해킹 사태 원인이 회사 측의 보안 관리 부실로 드러나면서 KT가 위약금 면제와 법적 리스크에 직면했다. 서버 악성코드 감염 사실을 은폐한 정황도 추가로 포착되면서 제재 수위가 높아질 공산이다.

특히 불법 펨토셀로 단말과 코어망 간 암호화 해제가 가능하다는 점에서 인증정보 외에 통화·문자 데이터까지 탈취됐을 가능성이 거론된다. 이 경우 KT는 천문학적 과징금과 더불어 손해배상 등 법적 리스크를 떠안게 돼 경영 불확실성이 더욱 커질 전망이다.

과학기술정보통신부는 6일 민간합동조사단 중간조사 결과 발표에서 불법 펨토셀이 KT망에 접속하는 과정에서 인증 관리가 제대로 이뤄지지 않았다고 밝혔다.

조사단은 단말과 코어망 간 암호화가 해제돼 불법 장비가 평문 형태의 인증정보(ARS·SMS)를 탈취할 수 있었던 것으로 판단했다. 이는 KT가 불법 펨토셀의 내부망 접근 인증 절차를 제대로 차단하지 못한 결과로, 회사의 명백한 귀책사유로 지적됐다.

이에 따라 KT는 전체 고객에 대한 위약금 면제 부담에 직면하게 됐다. 정부는 법률 검토를 통해 KT 약관상 면제 사유에 해당하는지 판단할 계획이다. 앞서 SK텔레콤 사례와 마찬가지로 총체적 관리 부실에 따른 사업자 귀책이 확인됨에 따라 위약금 면제 조치가 이뤄질 공산이 커졌다.

최우혁 과학기술정보통신부 네트워크정책실장은 “추가 조사 후 피해 등이 특정되면 법률자문을 받고 최종 판단하겠다”고 말했다.

서울 여의도 KT플라자 여의도역 직영점에 무료 유심 교체 서비스 시행 안내문이 부착되고 있다.

<이미지를 클릭하시면 크게 보실 수 있습니다>

더욱이 불법 펨토셀로 종단 암호화를 해제할 수 있는 점이 확인되면서 패킷 감청 가능성도 배제할 수 없게 됐다. 이 경우 결제 인증뿐 아니라 각종 통신기록이 외부로 유출됐을 가능성이 있어 피해 규모는 지금보다 커질 수 있다.

행정제재도 불가피하다. KT는 지난해 BPF도어 등 악성코드 감염 서버 43대를 발견하고도 정부에 신고하지 않았다. 일부 서버에는 이름·전화번호·이메일 등 개인정보가 저장돼 있었다. 정보통신망법상 침해사고 신고 지연·미신고는 3000만원 이하 과태료 대상이다. 개인정보 유출에 따른 과징금 규모도 경영에 부담이다.

형사 책임도 거론된다. 정부는 KT가 인증서 유출 정황이 있는 서버를 폐기하고 백업 로그를 숨기는 등 정부 조사를 방해하기 위한 고의성이 있다고 보고 공무집행방해로 수사를 의뢰했다. 수사 결과에 따라 경영진에 대한 형사 고발 조치가 이뤄질 가능성도 배제할 수 없다.

KT는 “민관합동조사단의 중간조사 결과를 엄중하게 받아들인다”며 “무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안업체 점검을 통한 서버 침해 사실 인지 후 지연 신고에 대해 송구하다”고 사과했다.

박준호 기자 junho@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]