최근 KT 침해사고로 개인정보 유출과 소액결제 피해를 겪은 이용자들의 불안감이 커졌다. 정부는 이번 사고에 대한 KT의 과실을 인정하고, 피해 고객에게 위약금 면제 적용이 가능하다고 판단했다. 또한 재발 방지를 위한 통신사 보안 강화 대책을 마련하여 국민의 안전한 통신 환경을 보장한다.
과학기술정보통신부는 민관합동조사단 조사 결과를 바탕으로 KT의 이용약관상 위약금 면제 규정 적용 여부를 검토했다. 조사 결과, KT는 펨토셀 보안 관리에 실패하여 이용자에게 안전한 통신 서비스를 제공해야 할 주된 의무를 다하지 못했다. 이로 인해 2만 2천여 명의 가입자 식별 정보가 유출되고, 368명의 이용자가 총 2억 4천여만 원 규모의 무단 소액결제 피해를 본 사실이 확인되었다.
정부는 이번 침해사고에서 KT의 과실이 명백하며, 계약상 주된 의무를 위반했기에 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 결론 내렸다. 이는 피해를 본 KT 고객들이 통신 서비스 해지 시 위약금 부담 없이 계약을 종료할 수 있다는 의미이다.
정부는 KT에 대한 강력한 재발 방지 대책 마련을 명령했다. 펨토셀 생산 단계부터 보안 정책을 강화하고, 시큐어 부팅 기능 구현, 인증서버 IP 주기적 변경 등 기술적 조치를 의무화한다. 또한 불법 펨토셀 접속에 대한 이상 징후 모니터링 및 차단 시스템을 구축하고, 화이트해커와의 협력을 통한 지속적인 관리 체계를 구축해야 한다. 이용자 단말기부터 코어망까지 종단 암호화(IPSec)를 유지하고, 비정상 트래픽을 감지하는 모니터링도 강화하도록 했다.
아울러 KT는 서버 등 네트워크 연결 장치에 EDR(Endpoint Detection and Response)과 같은 보안 솔루션을 확대 도입하고, 제로트러스트 모델을 적용하며, 분기별로 모든 자산에 대한 보안 취약점 정기점검 및 제거를 수행해야 한다. 정보보호최고책임자(CISO)의 권한을 강화하고 전사적 중장기 보안 업무계획을 수립하는 등 조직 차원의 정보보호 관리도 개선해야 한다. 자산 이력 관리 부실 문제 해결을 위해 정보기술 최고책임자(CIO)를 지정하고 자산관리 솔루션도 도입하도록 했다.
한편, LG유플러스 침해사고의 경우, 익명의 제보자가 주장한 통합 서버 접근제어 솔루션(APPM) 관련 정보 유출 사실이 확인되었다. LG유플러스가 한국인터넷진흥원의 침해사고 정황 안내 후 관련 서버의 OS를 재설치하거나 폐기한 행위는 부적절한 조치로 판단되어, 정부는 위계에 의한 공무집행 방해 혐의로 경찰청에 수사를 의뢰했다.
정부는 KT에 대해 침해사고 지연 신고 및 미신고에 따른 과태료 부과와 정부 조사를 방해한 고의성이 있다고 판단하여 형법상 수사 의뢰 등 법적 제재 조치도 취할 예정이다. 내년 1월까지 KT로부터 재발 방지 대책 이행 계획을 제출받고, 이행 여부를 점검하여 보완이 필요한 사항에 대해서는 시정조치를 명령할 방침이다. 또한 정보통신망법 개정을 통해 고의적인 침해사고 미신고에 대한 제재 강화를 추진하는 등 제도 개선도 추진한다.
기대효과:
이번 정부의 조치로 KT 침해사고 피해 이용자들은 위약금 면제를 통해 금전적 부담을 덜고, 통신 서비스에 대한 신뢰를 회복하는 계기가 된다. 통신사는 정보보호 의무에 대한 책임감을 강화하고, 정부가 강제하는 보안 강화 대책 이행을 통해 국가 핵심 통신망의 보안 수준을 높여 유사 사고 재발을 방지한다. 궁극적으로 국민이 더욱 안전하고 안심하며 디지털 서비스를 이용할 수 있는 환경을 조성한다.
답글 남기기