서울YMCA 시민중계실이 26일  KT 해킹, 조사결과 발표 후 충분한 기간 위약금 면제로 정부 조치 선례를 남겨야한다고 주장했다.

이 단계는 지난 9월 무단 소액결제 피해 사건을 시작으로 KT의 개인정보 유출, 서버 해킹, 증거 인멸에 대한 조사가 시작된 지 약 100일이 지났다면서 이같이 밝혔다. 

그러나 KT 이용자들은 여전히 정확히 어떤 정보가 얼마나 유출되었는지, 2차 피해 위험은 무엇이며 어 떤 보호조치를 받을 수 있는지 제대로 알지 못한 채 방치되어 있다. 

여기에 더해 민관합동조사단이 쿠팡 사건으로 여론의 관심이 분산된 틈을 타, KT 사태의 본질을 규명하지 않은 채 형식적인 조사 결과를 발표하고 사건을 그대로 덮으려 한다는 우려마저 제기되고 있다. 

KT 해킹은 2025년 국내 대규모 개인정보 유출 사고 중 직접적인 재산상 피해가 발생한 유일한 사건이다. 

KT는 전국의 펨토셀 기지국을 단일 인증키로 허술하게 관 리하고, ARS·SMS 인증은 해커에 의해 복호화가 가능한 상태로 방치했다. 

또한 KT 이용자의 아이폰 문자는 애초부터 암호화조차 되어있지 않은 점 등 KT 보안 거버넌스의 총체적 부실이 계속해서 드러나고 있다. 

민관합동조사단은 악성코드 감염이 발견된 43대 서버에 이름, 전화번호, 이메일주소, IMEI 등 핵심 개인정보가 저장 되어 있었다고 발표했다. 

서버의 규모 등으로 미루어 볼 때, 지금까지 드러난 2만 명이 아닌 KT 전 고객의 개인정보가 유출되었을 가능성 이 매우 높다. 

IMEI, IMSI, 전화번호, 이름, 이메일 주소의 유출과 통신 내용 도청은 단순한 정보 유출을 넘어 개인의 모든 활동과 삶이 해커에게 무방비로 노출 수 있는 중대한 사안이다. 

그럼에도 만약 민관합동조사단이 KT의 서버 폐기 등을 이유로 ‘추가 개인정보 유출을 발견하지 못했다’고 발표하며 국민들이 요구하는 유의미한 조치 없이 사건을 그대로 마무리한다면 이는 정부의 직무유기에 해당한다. 

전 국민에 대한 명확한 정보 제공이 나 이용자 보호조치도 없이 KT 해킹을 미제 사건처럼 종결할 경우 ‘기업의 시간 끌기 와 은폐·축소를 통해 상당한 책임을 회피할 수 있음’을 암시하는 부정적 선례 로 남 고 말 것이다.

이미 쿠팡은 주요 책임자들의 국회 무시와 검증되지 않은 일방적인 자체조사 결과 발표로 과기정통 부와 민관합동조사단마저 패싱하는 등 안하무인 적인 행태 를 보이고 있다. 

정부와 KT의 면피성 대응이 가져오는 피해는 오롯이 이용자의 몫이다. 과거 SKT 사 고 당시에는 이용자가 전체 가입자 유심 정보 유출 정황을 인지한 이후부터 그나마 87일간의 위약금 면제 가 적용된 바 있다. 

반면, 대다수 KT 이용자는 아직도 자신이 KT 의 ‘안전한 통신서비스 미제공’ 귀책으로 인한 도청 등 2차 피해 대상인지를 제대로 알지 못하고, 불안과 불만 속에서도 위약금 납부에 대한 부담으로 서비스 해지마저 못하고 있다 . 

아울러, 과기정통부와 방미통위가 KT 기지국 인증 체계 부실, 문자 암호화 미비, 서버 보안 실패 등에도 신규 가입자를 그대로 모집하도록 방치 하고 있어, KT 신규 이용자 들도 보안 위협에 끊임없이 노출되고 있다. 

서울YMCA 시민중계실이 국회 과학기술정보방송통신위원회 소속 더불어민주당 이정헌 의원실과 함께 12월 22일 발표한 ‘KT·쿠팡 해킹 관련 이용자 인식조사’ 결과는 이에 대한 국민 우려를 명확히 보여준다. 

KT와 쿠팡 이용자 85.4%가 KT와 쿠팡 등의 연이 은 보안 사고로 2차 피해 가능성 이 높다고 답했으며, 67.4%가 KT의 신규 영업 중단이 필 요 하다고 응답했다. 

또한, 83.3%가 전 고객 대상 위약금 면제가 필요하다고 응답 했고, 69.5%가 90일 이상의 위약금 면제 기간, 84.0%가 정부의 강력한 제재 조치를 요구했다. 

이는 국민 대다수가 정부에게 해킹 은폐 기업에 대한 엄중한 제재와 실질적인 이용자 보호조치 를 원하고 있음을 분명히 보여준다. 

이에 서울YMCA 시민중계실은 국민의 안전과 권리 보호를 위해 다음과 같이 정부와 관계 기관에 강력히 촉구했다.

첫째, 민관합동조사단은 침해 서버가 관리하던 정보의 종류와 규모, 유출 가능성을 한 점 의혹 없이 공개해야 한다. 

악성코드에 감염된 43대 서버에 저장돼 있던 이용자 정보의 정확한 항목과 규모, 각 서버의 담당 업무 범위, 실제 유출 가능성, 그리고 예상되는 2차 피해 위험까지를 국민 앞에 소상히 밝혀야 한다는 것이다. 불완전한 정보 공개는 불안만 키울 뿐이라는 지적이다.

둘째, KT는 전 고객을 대상으로 충분한 기간의 위약금 면제를 시행해 이용자 권리를 보장해야 한다. KT 이용자는 자신이 어떤 정보의 유출 위험에 노출됐는지를 정확히 고지받을 권리가 있으며, 이를 바탕으로 충분한 숙고 기간을 거쳐 통신사를 선택할 자유가 있다. 

정부 역시 조사 결과 발표 이후 KT 전체 이용자를 대상으로 한 위약금 면제 등 체감할 수 있는 보호 조치를 적극적으로 이끌어야 한다고 강조했다.

셋째, 정부는 KT의 총체적 보안 문제가 해소될 때까지 신규 영업 정지를 행정지도해야 한다. 과기정통부와 방송통신위원회는 해킹 사실에 대한 충분한 설명 없이 신규 가입자를 모집해 온 KT의 영업 행태가 관련 법령을 위반한 소지가 있는 만큼, 신규 가입 영업을 중단시키고 그 조치를 문제가 완전히 해소될 때까지 유지해야 한다는 요구다. 

이는 새로운 이용자가 또다시 보안 위험에 노출되는 사태를 막기 위한 최소한의 조치라는 주장이다.

넷째, 정부는 KT에 대한 엄중한 제재를 기준으로 쿠팡 해킹 사건에도 일관된 원칙을 적용해야 한다. KT에 대해 전 고객 위약금 면제와 같은 강력한 처분을 내린다면, 쿠팡 사건에도 영업정지나 이용요금 환불 등 실질적 제재가 뒤따라야 한다는 것이다. 

미온적인 대응은 기업들에 ‘침해 사고는 은폐하고 지연하면 된다’는 잘못된 신호를 줄 뿐이며, 이미 쿠팡 사태에서 드러난 무책임하고 부도덕한 대응을 반복·확대시키는 결과만 낳을 것이라고 경고했다. 엄정한 제재 없이는 국민의 개인정보가 앞으로도 반복적으로 위험에 놓일 수밖에 없다는 것이다.

서울YMCA 시민중계실은 KT에 대한 최종 조사 결과를 지켜본 뒤, 필요할 경우 정부의 대응 과정과 조사 결과 전반에 대해 감사원에 공익감사를 청구하는 방안도 검토할 계획임을 이미 밝힌 바 있다. 감사 청구 여부는 최종 조사 결과를 토대로 결정할 예정이다.