【투데이신문 최주원 기자】 KT가 정부 합동조사단으로부터 보안 관리 부실이 해킹 사태의 원인으로 결론 내려지면서 위약금 면제와 법적 책임을 피하기 어렵게 됐다.

KT는 6일 과학기술정보통신부(이하 과기부) 민관 합동조사단이 정부서울청사에서 발표한 중간 조사 결과에서 보안 관리 실태가 심각한 수준이었다는 지적을 받았다.

조사 결과 KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용해 해당 인증서만 복사하면 불법 펨토셀도 KT망 접속이 가능했다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 접속 이력이 있으면 지속적으로 망 접속이 가능했던 것이다.

더 큰 문제는 KT가 내부망에서 타사·해외 IP 등 비정상 IP를 차단하지 않았고, 펨토셀 제품 고유번호나 설치 지역정보 등을 검증하지 않았다는 점이다. 불법 펨토셀이 종단 간 암호화를 해제할 수 있어 ARS·문자 등 인증 정보를 평문으로 탈취할 수 있었던 것으로 확인됐다.

한국인터넷진흥원 이동근 디지털위협대응본부장은 “종단 간 암호가 해제되는 경우는 굉장히 이례적”이라며 “통화 데이터 탈취 가능성까지 열어두고 조사를 진행하고 있다”고 말했다.

KT 해킹 사태가 회사의 보안 관리 부실로 결론 나면서 위약금 면제와 법적 책임이 불가피해졌다. 정부는 KT가 악성코드 감염 사실을 은폐하고 불법 펨토셀 접속을 방치한 정황을 확인하고 경영진에 대한 형사 고발까지 검토하고 있다.

정부는 이에 대해 위계에 의한 공무집행방해로 수사를 의뢰했으며 수사 결과에 따라 경영진에 대한 형사 고발도 검토 중이다. 침해사고 신고 지연·미신고에 따른 정보통신망법 위반으로 3000만원 이하 과태료도 부과될 전망이다.

정부는 KT가 전체 이동통신 가입자 대상 유심 무상 교체를 진행하는 과정에서 부당 영업행위가 발생할 경우 신규 영업정지 등 제재 조치를 취하겠다는 방침이다.

과기부 최우혁 네트워크정책실장은 “앞서 SK텔레콤 때 유심 물량을 신규 영업으로 돌리는 행위를 막기 위해 영업정지 행정지도를 했다”며 “KT도 그런 사태가 벌어진다면 동일한 조치를 취할 것”이라고 경고했다.

과기부는 KT의 펨토셀 관리 부실, 침해 사실 은폐, 피해 정도 등을 종합해 법률 자문을 거쳐 위약금 면제 사유 해당 여부를 발표할 예정이다.

한편, KT는 이날 입장문을 내고 “민관합동조사단의 중간 조사 결과를 엄중하게 받아들인다”며 “악성코드 침해 사실 미신고와 침해사고 지연 신고에 대해 송구하다”고 사과했다.

KT 관계자는 “고객들에게 큰 불편과 우려를 끼친 점에 대해 거듭 사과드린다”며 “통신 인프라 전반을 근본적으로 재점검하고 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 끝까지 책임을 다하겠다”고 말했다.