KT 소액결제 해킹 사고로 피해가 확산되는 가운데, 국회 입법조사처가 “KT 고객에 대한 위약금 면제가 가능하다”는 해석을 내놨다. 해킹 피해가 없는 고객이라도 불안감이 조성됐다면 회사의 귀책사유에 해당한다는 것이다.

국회 과학기술정보방송통신위원회 최민희 위원장(더불어민주당·경기 남양주시갑)은 최근 국회 입법조사처에 ‘KT 위약금 면제 검토’를 요청했으며, 조사처는 “KT의 과실을 배제하기 어렵고, 안전한 통신서비스 제공 의무를 위반한 것으로 볼 여지가 있다”는 회답을 보냈다.

입법조사처는 “KT는 침해사고 관리 및 대응 과정에서 다수의 과실이 있었다”고 지적했다.

구체적으로 ▲초소형 기지국(펨토셀) 관리 미흡 ▲경찰 통보 이후 지연 대응 ▲개인정보 유출 정황 부인 후 뒤늦은 인정 등 일련의 과정이 KT의 귀책사유로 작용할 수 있다고 분석했다.

또한 ‘통신서비스 제공에 있어 주된 의무 위반’ 여부에 대해 ▲금전 피해의 직접성 ▲개인정보 추가 유출 가능성 등을 근거로 “KT가 안전한 통신서비스 제공 의무를 위반했다면, 이는 위약금 면제 사유로 볼 수 있다”고 밝혔다.

입법조사처는 “유출 규모나 피해 금액이 제한적이더라도, 이용자 불안과 신뢰 훼손 자체가 회사의 책임으로 볼 수 있다”며 “과기부 역시 이러한 판단에 따라 전기통신사업법 제28조 제1항에 따라 KT가 위약금 면제를 거부할 경우 영업정지 등 행정조치를 검토할 수 있다”고 명시했다.

지난해 SKT 유심 해킹사건 당시에는 ‘업무상 배임’ 논란으로 인해 자발적 위약금 면제가 논쟁이 됐다. 그러나 입법조사처는 KT의 경우 “귀책사유가 명확하지 않은 상태에서 스스로 위약금 면제를 결정하더라도, 이는 합리적인 경영판단의 재량 범위 내 행위로 볼 수 있다”고 밝혔다.

이어 “KT가 고의적으로 회사에 손해를 끼쳤다고 단정하기 어렵고, 배임 고의성을 인정하기도 쉽지 않다”고 덧붙였다. 다만 “추가 조사 결과에 따라 판단은 달라질 수 있다”고 단서를 달았다.

입법조사처는 KT 해킹 피해가 SKT의 과거 유심 해킹사건보다 ‘피해의 직접성’이 더 크다고 평가했다.

SKT의 경우 2696만 건의 가입자 식별번호(IMSI) 등 개인정보가 유출됐지만 금전적 피해는 없었던 반면, KT는 해킹으로 인한 개인정보 유출에 이어 실제 금전 피해가 발생했다는 점에서 차이가 있다는 것이다.

다만 KT의 유출 규모는 2만30건(9월 18일 기준) 수준으로 SKT 때보다 훨씬 적으며, 피해 금액을 실제 청구하지 않고 면제조치가 이뤄지고 있다는 점은 ‘위험 가능성 완화 요인’으로 작용할 수 있다고 분석했다.

최 위원장은 “SKT 해킹 당시에는 위약금 면제뿐 아니라 요금 할인 등 추가 보상까지 이뤄졌다”며 “KT는 이미 과실이 명백히 드러난 만큼, 위약금 면제와 추가 보상안을 마련해야 한다”고 강조했다.

그는 이어 “아직 해킹 원인조차 규명되지 않아 국민 불안이 가시지 않았다”며 “과학기술정보통신부도 KT 해킹 피해의 심각성을 감안해 위약금 면제 여부를 적극적으로 판단해야 한다”고 촉구했다.