KT가 이용자 단말기가 미상의 가짜 기지국에 접속한 정황을 확인하고 이를 사이버 침해 사고로 신고했다. 현재 수사가 진행 중인 가운데 개인정보 유출 여부와 통신사 책임 범위를 둘러싼 법적 쟁점도 제기되고 있다.

9일 통신업계에 따르면 KT는 지난 8일 한국인터넷진흥원(KISA)에 이번 사안을 사이버 침해 사고로 신고했다. 회사 측은 피해자들의 휴대전화가 자사가 관리하는 정상 기지국이 아니라 미상의 기지국 ID에 접속했던 사실을 확인했다고 밝혔다.

해커는 가상으로 만든 기지국에 휴대전화가 접속하도록 유도한 뒤 단말기 내 정보를 탈취하는 방식으로 범행을 저지른 것으로 파악됐다. 이른바 ‘가짜 기지국(위장 기지국)’을 이용한 공격 방식이다. 해당 가상 기지국은 현재는 더 이상 확인되지 않는 것으로 전해졌다.

KT는 이날 입장문에서 “고객 피해 발생 등 심려를 끼쳐 송구하다”고 밝혔다. 다만 “현재까지 개인정보 해킹 정황은 확인되지 않았다”고 설명했다.

그러면서 “침해 사고 정황을 신고한 것은 맞지만 현재 수사 중인 사안이라 구체적인 침해 내용은 밝히기 어렵다”고 덧붙였다.

통신사가 침해 사고를 인지한 경우에는 관련 법령에 따라 관계기관에 신고해야 한다. 정보통신망법은 정보통신서비스 제공자가 해킹 등 침해 사고를 알게 되면 한국인터넷진흥원이나 과학기술정보통신부에 즉시 신고하도록 규정하고 있다. 시행령은 통상 사고 인지 후 24시간 이내에 발생 시점과 원인, 피해 규모, 대응 현황 등을 보고하도록 하고 있다.

이번 사건에서 실제 이용자 피해가 확인될 경우 법적 책임은 피해 유형에 따라 달라질 수 있다.

휴대전화 소액결제 등 금전적 피해가 발생했다면 정보통신망법상 ‘통신과금서비스’ 규정이 적용된다. 해당 법은 서비스 제공 과정에서 이용자 손해가 발생하면 사업자가 배상 책임을 질 수 있도록 규정하고 있다. 다만 손해가 이용자의 고의나 중대한 과실로 발생한 경우에는 책임이 제한될 수 있다.

또 다른 쟁점은 개인정보 유출 여부다. 통신사가 개인정보를 보유·관리하는 사업자인 만큼 실제 개인정보가 외부로 유출된 사실이 확인될 경우 손해배상 책임 여부가 별도로 판단될 수 있다.

법원은 개인정보 유출 사건에서 사업자가 법령이 요구하는 기술·관리적 보호조치를 다했는지 여부를 핵심 판단 기준으로 제시한 바 있다. 2016년 서울고등법원은 개인정보 유출 사건에서 해킹이 발생했다는 사정만으로 곧바로 사업자의 손해배상 책임이 인정되는 것은 아니라고 판시했다.

재판부는 “해킹 당시의 보안 기술 수준, 기업 규모와 보안 시스템, 침해 사고 예방 가능성 등을 종합적으로 고려해야 한다”며 “사업자가 사회 통념상 합리적으로 기대되는 수준의 보호조치를 취했는지를 기준으로 판단해야 한다”고 설명했다.

법조계에서는 이번 사건 역시 가짜 기지국을 통한 공격이 실제로 가능했는지, 통신사가 이를 탐지하거나 차단할 수 있었는지 등이 향후 책임 판단의 핵심 쟁점이 될 것으로 보고 있다. 특히 통신망 보안 관리 수준과 이용자 보호 조치가 적절했는지가 주요 판단 기준이 될 가능성이 있다는 분석이 나온다.