과학기술정보통신부는 KT가 전체 이용자를 대상으로 위약금을 면제해야 한다고 판단했다. 앞서 KT는 지난달 말까지 개인정보 유출 피해자(2만2227명) 대상 위약금 면제를 실시했는데, 정부의 이번 발표로 대상을 확대할 전망이다. 김영섭 KT 대표는 지난 국정감사에서 전 고객 대상 위약금 면제에 대해 "민관합동조사단 조사 및 경찰 수사 결과를 종합적으로 고려해 결정하겠다"고 밝힌 바 있다.
29일 과기정통부는 민관합동조사단 최종 조사결과를 바탕으로 5개 기관에서 법률 자문을 받은 결과 이같이 판단했다고 밝혔다. 이번 해킹사고에서 KT의 과실 여부와 전체 이용자에 통신서비스를 제공하는데 있어 주된 의무를 위반했는지 중점적으로 살핀 결과 이용약관상 위약금이 면제되는 ʽ기타 회사의 귀책 사유ʼ에 해당한다는 설명이다.
민관합동조사단 조사 결과 KT는 펨토셀 인증서 관리, 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안 관리를 하지 않은 것으로 나타났다. 조사 과정에서 악성코드가 감염된 서버를 발견하고도 정부에 신고하지 않는 등 정보통신망법 위반 사실도 확인됐다. 이에 과기정통부는 "일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐 아니라 관련 법령을 위반했다"며 "이번 침해사고에서 KT의 과실이 있는 것으로 판단했다"고 설명했다.
또 이용자 단말기와 KT 내부망 사이의 종단 암호화가 불법 펨토셀로 해제되면서 이용자가 송·수신하는 평문의 문자, 음성통화 정보를 탈취할 수 있었던 것으로 나타났다. 실제 일부 지역에선 ARS·SMS로 전송된 인증문자가 탈취돼 무단 소액결제가 이뤄지는 피해도 발생했다. 과기정통부는 사실상 KT 전체 가입자가 위험성에 노출됐던 것으로 보고 '이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무'를 다하지 못했다고 봤다.
한편 법률 자문 결과 4곳은 KT의 펨토셀 관리 부실로 인한 해킹 사고로 '전체 이용자에 대해 안전한 통신서비스 제공'이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 다른 한 곳은 정보 유출이 확인되지 않은 이용자에겐 위약금 면제 규정 적용이 어렵다는 의견을 냈다.