[비즈니스포스트] "KT의 펨토셀(소형 기지국) 부실 관리로 인해 야기된 평문의 문자메시지와 음성통화 탈취 위험성은 무단 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출되었던 것으로 판단했고…."

과학기술정보통신부가 지난해 12월29일 민관합동조사단 'KT·LG유플러스 침해사고 최종 조사결과'를 발표하며 밝힌 내용이다.

"KT는 펨토셀 관리 전반이 부실해, 불법 펨토셀(유령 기지국)이 언제 어디서든 KT 내부망에 접속할 수 있었고, 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자메시지와 음성통화 정보 탈취가 가능했던 사실이 확인됐다."

"또한 통신 과정에서 이용자 단말기와 KT 내부망 사이 구간의 송·수신되는 정보는 종단 암호화가 이뤄져야 하나, 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인됐다. 이는 통신 트래픽 캡쳐가 가능한 불법 펨토셀에서 이용자가 송·수신하는 평문의 문자메시지와 음성통화 정보를 탈취할 수 있는 위험한 상황에 이용자가 노출된 것이며, 실제 일부 지역에서 피해도 발생했다." 
 
이어진 부연 설명이다.

종합해서 쉽게 설명하면, KT가 소형 기지국(펨토셀) 관리를 부실하게 해왔고, 이로 인해 KT 모든 이동통신 가입자들의 음성통화와 문자메시지가 도청 가능한 상태에 놓여있었던 것으로 판단했다는 것이다. 도청이란 음성통화와 문자메시지를 당사자가 아닌 제 3자가 몰래 엿듣거나 엿보는 행위를 말한다.

"KT는 침해사고에 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 판단했다."

과기정통부가 이어 밝힌 내용이다. KT가 가입자들과 맺은 이용 계약 가운데 '주된'(가장 중요한) 의무를 다하지 않았다고 주무 부처인 과기정통부가 못박은 것이다.

이날 발표된 민관합동조사단의 KT 통신망 해킹 및 무단 소액결제 사태 조사결과를 보면, KT 통신망 서버(컴퓨터) 3만3천여대 가운데 94대가 103종의 악성코드에 감염됐고, KT 가입자 368명이 2억4300만 원 규모의 무단 소액결제 피해를 당한 것으로 드러났다. 또한 KT 가입자 2만2227명의 개인정보가 유출됐다.

앞서 발생한 SK텔레콤 통신망 해킹 및 개인정보 유출 때와 비교하면, 개인정보 유출 피해자 수는 적지만 악성코드 감염 서버 수는 더 많다. 통신망이 더 심하게 뚫렸다는 얘기다. 유령 기지국을 통해 모든 이동통신 가입자들의 통화내용과 문자메시지가 도청 가능한 상태에 놓였고, 금전적 피해도 발생했다.

헌법에도 명시된 통신비밀 보호가 보장되지 않는 상태로 통신망이 운영되고 있었다는 얘기다. KT가 헌법까지 위반해 가입자들의 정보인권을 심각하게 침해하고 있었다는 뜻이기도 하다.

하지만 KT에 법적 책임을 묻고, 피해보상 등을 주문하는 뒷대목이 어딘가 모르게 상당히 허전하다.

과기정통부는 통신망 해킹과 개인정보 유출 사실을 늦게 신고했거나 신고하지 않은 것에 대해서는 정보통신망법 제76조에 따라 3천만 원 이하의 과태료를 부과할 예정이라고 밝혔다.

또한 민관합동조사단에 서버 폐기 시점 등을 허위 진술하고, 폐기 서버 백업 로그 기록을 갖고 있으면서 보고하지 않은 행위에 대해서는 고의성이 있다고 판단해 형법(제137조 위계에 의한 공무집행 방해)에 따라 수사기관에 수사의뢰했다고 했다.

이어 이용약관의 위약금 납부 의무 면제 조항('기타 회사의 귀책 사유인 경우')를 들어, KT 통신망 관리 소홀에 불안감을 느껴 이탈(번호이동이나 해지)하는 가입자들의 중도 해지 위약금을 면제해야 한다고 판단했다고 밝혔다.

김영섭 KT 사장은 다음 날(30일) 기자간담회를 열어 "민관합동조사단의 조사 결과를 엄중히 받아들인다"고 말했다. 그는 이어 "책임을 통감하며, 2025년 9월1일부터 2026년 1월13일까지 KT 이동통신 서비스 가입을 해지했거나 해지를 원하는 가입자들의 중도 해지 위약금을 면제해주기로 했다"고 밝혔다.

KT는 또 오는 2월부터 8월까지 6개월 동안 요금제와 상관없이 모든 가입자에게 다달이 100기가바이트(GB) 분량의 데이터를 제공하고, 유료 OTT 서비스 2종 가운데 한가지를 6개월 동안 무료로 이용할 수 있게 하기로 했다. 이 기간 동안 인기 멤버십 할인 혜택도 제공한다.

과기정통부는 민관합동조사단의 조사 결과를 바탕으로 KT가 통신망 관리를 엉터리로 해 모든 이동통신 가입자들의 음성통화와 문자메시지가 도청 가능 상태에 놓였던 것으로 판단했다'고 했고, KT도 이런 조사 결과를 아무런 이의없이 수용했다. KT 통신망이 헌법이 보장하는 통신비밀이 보장되지 않는 상태로 운영되고 있었다고 주무 부처가 판단했고, 사업자도 인정한 것이다.

무척 엄중한 사안이다. 하지만 KT에 책임을 묻는 강도와 대응 태도는 가볍기 그지 없다. 이렇게 대충 넘길 사안이 아니라는 지적이 많지만, 과기정통부와 KT 모두 깨닫지 못하는 모습이다.
 
그냥 '그렇다네요' 하며 넘어가는 모습이 역력하다.

전기통신사업법(제32조의10 1항)에 따르면, 기간통신사업자는 이용자에게 전기통신설비 관리를 포함하여 전기통신역무를 편리하고 안정적으로 제공하기 위해 노력해야 한다. 또한 정보통신망법(제3조 정보통신서비스 제공자 및 이용자의 책무)에 따르면, 정보통신서비스 제공자는 이용자를 보호하고 건전하고 안전한 정보통신서비스를 제공해야 한다.

KT는 기간통신사업자이자 정보통신서비스 제공자다.

통신망 보안 소홀로 전기통신사업법의 '전기통신 역무를 안정적으로 제공하기 위해 노력'과 정보통신망법의 '안전한 정보통신서비스 제공' 의무를 어기며 모든 이동통신 가입자의 음성통화와 문자메시지를 도청 가능한 상태에 놓이게 했으니 마땅한 행정처분이 뒤따라야 한다. 행정처분이란 주무 부처인 과기정통부가 의무를 소홀히 한 통신사업자에 행정적으로 내리는 처분으로, 영업정지와 사업허가 취소 등이 있다.

앞서 류제명 과기정통부 차관(당시는 네트워크정책실장)이 지난 7월 SK텔레콤 해킹 및 개인정보 유출 건에 대한 민관합동조사단 최종 조사 결과 발표 때는 행정처분 여부를 묻는 기자 질문에 "수사의뢰한 건에 대한 조사 결과가 나오면 반영해서 (행정처분 여부와 처분 수위를) 결정하겠다"고 밝힌 바 있다. 당시 과기정통부는 자료 보존 명령을 어기고 서버를 삭제해 자료를 훼손한 SK텔레콤을 조사 방해 혐의로 수사의뢰했다.

하지만 수사의뢰된 건에 대한 서울경찰청 사이버수사대 조사는 5개월이 지나 해가 바뀌도록 감감무소식이다. 덩달아 SK텔레콤 통신망 해킹 및 개인정보 유출 사태에 대한 과기정통부 행정처분도 하염없이 미뤄지고 있다. 그 사이 KT 해킹 및 무단 소액결제, 롯데카드 해킹 및 개인정보 유출, 쿠팡 대규모 개인정보 유출 사태 등이 이어지며 SK텔레콤 해킹 및 개인정보 유출 건은 오래 전 일로 돌려지고 있다.
 
한편, 과기정통부는 이날 LG유플러스도 '위계에 의한 공무집행 방해' 혐의로 경찰청에 수사의뢰했다고 밝혔다. 조사 대상 서버를 폐기하거나 운영체제(OS)를 재설치하는 방식으로 민관합동조사단 조사를 불가능하게 만들었다고 설명했다.

결과적으로 이동통신 3사가 모두 조사 대상 서버·자료 불법 폐기와 거짓 진술 등으로 경찰에 수사의뢰된 셈이다. 업계와 정보인권 시민단체 쪽에선 "어느 정도로 심하게 뚫렸고 개인정보를 유출했기에 서버 폐기와 소프트웨어 재설치 같은 무리수까지 두어 수사의뢰를 자청했겠느냐"는 반응이 나온다.

경찰 조사와 형사 처벌을 만만하게 보거나, 담당자로 하여금 '서버를 끌어안고 자폭을 하게 하는' 게 더 싸게 막는 방법이라고 생각했던 듯 싶다. 이용자 3370만 명 개인정보 유출 혐의를 받고 있는 쿠팡 역시 정부의 자료 보존 요구를 받고도 홈페이지 접속 로그가 삭제되도록 방치해 5개월 분량이 삭제된 것으로 드러나, 과기정통부가 경찰에 수사를 의뢰하겠다고 밝혔다.

사업자 쪽에서는 서버·자료 폐기를 통해 너무도 어이없게 뚫렸거나 개인정보 대량 유출 사실을 보여주는 지점을 조사 불능 상태로 만들어 시간을 벌고, 소나기(여론의 집중 질타)를 피해갈 수 있다. 이를 통해 개인정보보호위원회 과징금 처분 수위를 낮추고, 집단 분쟁이나 소송의 동력을 줄일 수도 있다. 이후 상황은 대형 법무법인 등을 앞세워 대응하면 된다. 설사 경찰 조사 결과가 나쁘게(고의적으로 조사를 방해한 것으로) 나와도 담당자한테로 책임을 돌리는, 꼬리 자르기를 하면 된다.

SK텔레콤 해킹 및 개인정보 유출 사태 때 수사의뢰된 건에 대한 경찰 조사 결과가 5개월이 넘도록 감감무소식인 게 이를 반증한다. SK텔레콤은 이와 관련해 "서울경찰청 사이버수사대가 조사 중이라는 것만 알 뿐, 조사 과정은 물론 조사 결과가 언제쯤 나온다는 것 등은 알지 못한다"고 밝혔다.

이동통신 3사는 대형 법무법인을 법률 대리인으로 선임해 경찰 조사 등에 대응하고 있다.

가입자들이 요금 연체 등을 하면, 사업자들은 이용약관 위반을 이유로 통신서비스 이용을 중단시키거나 가입 계약을 강제 해지하기까지 한다. 연체료를 물리기도 한다. 이번에는 사업자들이 이용 계약 가운데 가장 중요한 의무를 다하지 않은 것으로 드러난만큼, 가입자들이 사업자를 향해 피해보상 요구와 손해배상 청구 등 종주먹을 들이댈 절호의 기회인데, 수단이 마땅찮다.

가입자들이 분쟁조정에 나섰지만, 사업자(SK텔레콤)가 다 걷어찼다. 지난해 7월14일까지로 정해진 중도 해지 위약금 면제 기간을 연말까지로 연장하라는 통신분쟁조정위 조정과 피해 가입자 1인당 30만원씩 보상하라는 개인정보분쟁조정위 조정 모두 SK텔레콤 측의 거부로 무산됐다. 1인당 10만원씩 보상하라는 소비자분쟁조정위 분쟁조정 역시 SK텔레콤이 해가 바뀌도록 입장을 내놓지 않고 있다.

재발 방지를 위해서는 정부라도 엄하게 매를 들어야 하지만, 과기정통부의 이동통신 3사에 대한 눈초리는 여전히 '온화'해보이기만 하다. 애써 가느다란 회초리를 골라잡는 모습도 엿보인다.

배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생종의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다. 그리고 끝이다.

가입자들과 시민단체들이 과기정통부를 비판하며 '통신사 2중대' 내지 '사업자와 짬짬이' 등의 말을 쓰는 배경이다. 지난 송년회 자리에서 만난 전직 정부 관료는 "가입자들의 음성통화와 문자메시지를 도청 가능 상태로 방치한 것으로 드러난 사업자를 어찌 그냥 둘 수 있느냐"는 날선 비판을 쏟아냈다.

급기야 참여연대는 따로 성명을 내어 "정부는 KT에 영업정지 명령을 해야 한다"고 촉구하고 나섰다.

비즈니스포스트 독자 여러분은 어떻게 보십니까. 김재섭 선임기자