KT, 침해사고 최종 조사결과 발표…위약금 환급 대상과 신청 방법은?

김예지 yj@itdonga.com

2026.01.06.

[IT동아 김예지 기자] 정부가 지난해 8월 발생한 KT 침해사고 최종 조사결과를 발표하며, KT의 과실을 공식 인정했다. 과학기술정보통신부는 민관합동조사단 조사 결과, KT가 계약상 주된 의무를 다하지 못했다는 판단 하에 위약금 면제 적용이 가능하다고 발표했다. 이에 KT는 위약금 면제 정책과 함께 전 고객 대상 보상안을 내놨다.

KT가 위약금 면제 정책과 함께 전 고객 보상안을 내놨다 / 출처=IT동아

불법 장비에 뚫린 방어망…2만여 명 정보 유출

이번 KT 침해사고는 불법 펨토셀을 이용한 정보 탈취와 장기간 누적된 악성코드 감염이 복합적으로 작용한 결과였다. 불법 펨토셀로 인해 2만 2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출되고, 368명(777건)이 무단 소액결제로 약 2억 4300만 원의 피해를 입었다. 다만 2024년 7월 이전은 데이터 부재로 추가 피해 확인이 불가능했다.

또한 94대 서버에서 BPFDoor, 루트킷, 웹셸 등 103종의 악성코드 감염이 확인됐다. 해커는 파일 업로드 취약점을 악용해 웹셸을 유포하고, 악성코드를 확산시킨 것으로 추정된다. 특히 KT가 2024년 3~7월 사이 감염 서버 41대를 발견하고도 신고하지 않은 채 자체 조치한 점이 문제로 지적됐다. 조사단은 “일부 감염 서버에 개인정보가 있었으나, 로그 기록이 남아있는 기간에는 유출 정황이 없었다”면서 “주요 서버에 방화벽 등 기본 장비가 부재했고, 로그 보관 기간도 1~2개월에 불과해 사고 분석에 한계가 있었다”고 덧붙였다.

조사단은 불법 펨토셀 포렌식 분석으로 무단 소액결제 사고 원인을 파악했다. 해커는 불법 펨토셀에 KT 내부망 접속에 필요한 인증서와 서버 IP 정보를 복사해 내부망에 침투했다. 강한 전파를 쏴 정상 기지국에 연결된 이용자 단말기를 강제로 끌어왔다. 탈취한 정보는 미상의 경로로 얻은 개인정보와 결합해 상품권 구매 및 소액결제에 이용됐다.

그러나 피해자의 개인정보가 어떤 경로로 확보됐는지에 대해 여전히 의문이 남아 있다. 류제명 과기정통부 제2차관은 지난 12월 29일 브리핑에서 “이번 공격으로 인해 개인정보가 유출된 흔적은 없다고 판단하나, 조사단의 조사로는 한계가 있었다”며, “개인정보 유출에 대한 심층적인 조사는 개인정보보호위원회에서 추가 파악될 것”이라고 덧붙였다. 한편, 일각에서는 이번 사고가 더 큰 범죄를 위한 테스트였을 가능성을 제기하며 보안 체계의 중요성을 강조했다.

재발방지 대책 마련…구조적 취약점 개선해야

정부는 KT의 보안 체계 전반에 구조적 결함이 있다고 보고 재발방지 대책을 마련했다. 펨토셀마다 동일한 인증서를 사용하거나 유효기간이 10년에 달하는 등 인증 체계가 허술했기 때문이다. 이에 따라 펨토셀 시큐어 부팅 구현, 인증 서버 IP 주기적 변경, 불법 접속 모니터링을 조치하도록 했다.

또한 기존에는 불법 펨토셀을 거칠 때 암호화가 해제돼 인증 정보가 평문으로 노출되는 문제가 있었다. 특히 아이폰 16 이하 단말의 경우 KT가 암호화 설정 자체가 지원되지 않았다. 이에 정부는 단말기부터 코어망까지 종단 암호화를 유지하고 비정상 트래픽 감시를 상시화할 것을 요구했다.

더불어 거버넌스 측면에서는 분산된 보안 업무를 정보보호최고책임자(CISO) 중심으로 통합하고, 백신, 제로트러스트 보안, 방화벽 등 보안 장비를 도입하며 로그 보관 기간을 최소 1년 이상으로 확대하는 중앙 로그 관리 시스템을 구축하도록 했다. 한편, 침해사고 신고 의무를 이행하지 않은 점에 대해 3000만 원 이하 과태료를 부과했다.

위약금 면제 결정…환급 신청 방법은?

KT 고객은 2026년 1월 13일까지 해지할 경우 위약금이 면제된다 / 출처=KT

KT는 고객 신뢰 회복을 위해 위약금 면제를 시행한다. 2025년 8월 31일 24시 기준으로 KT에 가입돼 있던 고객은 2026년 1월 13일까지 해지할 경우 위약금이 면제된다. 2025년 9월 1일부터 12월 30일 사이 이미 해지한 고객도 소급 적용받는다.

다만, 2025년 9월 1일 이후 신규 가입자나 알뜰폰, IoT, 특수목적 고객, 직권해지 고객은 제외된다. 모바일 약정 위약금 외 요금 하향에 따른 차액정산금, 단말기 할부금, 유선상품 위약금, 결합 위약금도 제외된다. 특수 사유(장기 입원, 군 복무, 해외 체류 등)가 인정되면 2026년 6월 30일까지 신청할 수 있다.

위약금은 환급 방식으로 돌려받는다. 12월 30일부터 대상 여부와 예상 위약금 조회가 가능하며, 환급 신청은 1월 14일 오전 9시부터 1월 31일 오후 10시까지 홈페이지나 오프라인 매장에서 신청하면 된다. 예컨대, 12월 31일까지 이미 해지한 고객은 오는 1월 14일부터 위약금 환급을 신청하면 1월 22일부터 순차적으로 환급받을 수 있다. 1월 1일부터 1월 13일 사이 해지하는 고객은 1월 14일부터 위약금 환급을 신청하면 2월 19일부터 환급받을 수 있다. 동일 명의 계좌로만 환급 신청할 수 있다.

남는 고객에겐 데이터·OTT·할인 혜택

KT는 1월 13일 기준 전 고객 대상으로 고객 보답 프로그램을 제공한다 / 출처=KT

KT에 남기로 한 고객에게는 별도의 보상이 제공된다. 위약금 면제 종료일인 1월 13일 기준 이용 중인 모든 고객이 대상이다. 먼저 2월부터 7월까지 6개월간 매달 데이터 100GB가 자동 제공된다. IoT·선불폰은 제외되나, 스마트 워치 등 스마트기기와 공유가 가능하다. 또한 3월부터 8월까지 ‘함께 쓰는 로밍’ 상품 가입 시 로밍 데이터를 추가 제공한다.

OTT(티빙 베이직 등 2종 중 택1) 6개월 무료 이용권도 지급된다. 멤버십 할인과 더불어 피싱·해킹 피해를 보장하는 안심 보험도 2년간 제공된다. 만 65세 이상은 별도 신청 없이 자동 가입된다. 다만, 이미 무제한 요금제나 VIP 혜택을 이용 중인 고객에게는 체감도가 낮을 수 있다는 평가도 있다. 더불어 KT는 2025년 9월 3일 기준 고객 대상으로 유심 무상 교체도 시행 중이다. KT는 전담 상담센터를 운영해 위약금 면제 관련 안내를 제공한다.

KT는 침해사고 재발 방지를 위해 전사 차원의 정보보안 혁신TF를 출범하고, 보안 관리 체계를 전면 강화한다는 방침이다. 특히 지난해 향후 5년간 1조 원을 정보보안에 투자한다고 밝힌 만큼 제로 트러스트 체계를 확대하고, ▲통합 보안 관제 고도화 ▲접근 권한 관리 강화 ▲암호화 확대 등 핵심 보안 역량을 전면 재편할 방침이다.

IT동아 김예지 기자 (yj@itdonga.com)