과학기술정보통신부는 29일 정부서울청사에서 통화 정보 유출 등의 위험이 있었던 KT가 이용자에 대한 위약금 면제 시행 대상에 해당한다는 내용의 KT 침해 사고 최종 조사 결과를 발표했다.
민관 합동 조사단이 KT 서버 3만3000대를 6차례 걸쳐 점검한 결과, 서버 94대가 BPF도어(BPFDoor), 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염돼 있었다. 악성코드 33종에 감염됐고 이 중 1종이 서버 88대에 유입된 SKT에 비해 감염이 더 광범위하다.
KT는 지난해 3월 감염 서버를 발견 후에도 정부에 알리지 않고, 서버 41대 코드 삭제 등 자체 조치로 무마해 피해 파악이 늦어진 바 있다.
조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 이들 기기에 KT 망 접속에 필요한 KT 인증서 및 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제삼의 장소로 전송하는 기능이 있음을 확인했다.
이에 과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다.
약관에 명시된 "회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다"는 규정에 부합하며 특히 평문의 문자, 음성 통화가 제삼자에게 새어나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 전체 이용자에 해당한다고 해석했다.
조사단이 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과 4곳에서 이번 침해 사고로 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 법적 판단을 전달했다.
과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고 6월까지 이행 여부를 점검할 계획이다.
한편 통신업계에 따르면 KT는 30일 이사회를 열어 위약금 면제 범위와 고객 보상안을 논의, 발표할 것으로 알려졌다.
정혜영 빅데이터뉴스 기자 news@thebigdata.co.kr
<저작권자 © 빅데이터뉴스, 무단 전재 및 재배포 금지>
