위약금 면제 2주간 시행, 해지 고객 소급 적용
전 고객 데이터·OTT·보험 보상… 체감액 월 4500원 수준
CEO 직속 보안 혁신 TF 출범, 제로 트러스트 전사 확대
KT가 해킹 침해사고에 대한 책임을 인정하고, 이동통신 전 고객을 대상으로 한 위약금 면제와 전사 차원의 정보보안 체계 개편에 나섰다. 정부가 “안전한 통신 서비스 제공 의무를 위반했다”고 결론 내린 직후, KT는 고객 신뢰 회복을 위한 보상과 재발 방지 대책을 내놨다.
KT는 30일 서울 광화문 사옥에서 ‘침해사고 관련 대고객 사과와 정보보안 혁신방안’ 기자간담회를 열고, 이동통신 서비스를 해지하는 고객에 대해 위약금을 전액 면제한다고 밝혔다. 적용 기간은 이날부터 2026년 1월 13일까지 2주간이며, 2025년 9월 1일부터 12월 30일 사이 이미 해지한 고객에게도 소급 적용된다. 위약금은 고객 신청을 거쳐 환급 방식으로 지급된다.
김영섭 KT 사장은 “침해사고로 고객께 큰 불안과 불편을 드린 점에 대해 깊이 사과드린다”며 “조사 결과를 매우 엄중하게 받아들이고, 정보보호 시스템의 문제를 넘어 고객 신뢰 회복을 회사의 최우선 과제로 삼겠다”고 밝혔다. 사고 경위에 대한 구체적 책임 공방보다는 보상 이행과 재발 방지에 발언의 초점을 맞췄다.
KT는 위약금 면제와 별도로, 서비스를 유지하는 전 고객을 대상으로 ‘고객 보답 프로그램’을 시행한다. 2026년 2월부터 6개월간 매월 100GB의 데이터를 자동 제공하고, 로밍 데이터는 50% 추가 제공한다. OTT 서비스 2종 중 1종을 선택해 6개월간 이용할 수 있도록 하고, 커피·영화·베이커리 등 생활 밀착형 멤버십 할인도 6개월간 제공한다. 휴대전화 피싱·해킹 피해와 온라인 거래 사기 등을 보상하는 ‘안전·안심 보험’은 2년간 제공되며, 만 65세 이상 고객은 별도 신청 없이 자동 가입된다.
KT는 해당 보상 패키지의 체감 가치를 월 기준 약 4500원 수준으로 추산했다. 요금 할인 대신 데이터·콘텐츠·보험 형태의 보상을 선택한 배경에 대해 KT 측은 “일회성 요금 감면보다 장기간 다수 고객이 실제로 활용할 수 있는 혜택에 초점을 맞췄다”고 설명했다. 다만 무제한 요금제 이용자 등 일부 고객에게는 체감도가 낮을 수 있다는 지적도 나왔다.
이번 조치는 정부의 최종 조사 결과 발표 직후 나왔다. 민관합동조사단은 KT 서버 3만3000여 대를 6차례 점검한 결과, 서버 94대에서 악성코드 103종이 발견됐으며, 불법 초소형 기지국(펨토셀)을 통해 문자·통화 내용이 평문으로 탈취될 가능성이 있었던 것으로 판단했다. 과학기술정보통신부는 이를 ‘이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 사례’로 보고, 약관상 위약금 면제 사유에 해당한다고 결론 내렸다.
KT는 재발 방지를 위해 CEO 직속의 ‘정보보안 혁신 TF’를 출범시켰다. IT·네트워크·IPTV·조직·재무 등 6개 분과로 구성된 TF에는 약 60명의 임직원이 참여하며, 기존 IT 보안 중심의 CISO 조직을 넘어 전사 보안 거버넌스를 재설계하는 역할을 맡는다. TF는 경영진이 직접 진행 상황을 점검하는 구조로 운영된다.
기술적 조치도 병행된다. KT는 불법 펨토셀의 제작·납품·설치·회수 전 과정을 재정비하고, 장비 인증 절차를 강화해 미등록 장비의 네트워크 접속을 원천 차단했다. 전 서버에 대한 악성코드 제거를 완료했으며, 화이트해커와 협력해 상시 점검 체계를 운영한다. 서버·애플리케이션 로그 보관 기간을 대폭 확대하고, 네트워크·IT·미디어 보안을 통합 관제하는 체계도 구축한다.
중장기적으로는 향후 5년 간 1조원 규모의 정보보안 투자를 집행하고, 필요 시 추가 투자도 검토한다. 제로 트러스트 보안 체계(내부망·외부망을 구분하지 않고 모든 접속을 검증하는 방식)를 클라우드·AI 서비스 수준을 넘어 내부 시스템과 협력사까지 전사적으로 확대 적용하고, 보안 사고 대응 프로세스와 책임 체계도 전면 개편한다는 계획이다.
김 사장은 “이번 사고는 단순한 기술적 문제가 아니라 KT 보안 관리 전반에 대한 경고”라며 “국가 기간통신사업자로서 책임을 통감하고, 말이 아닌 변화된 모습으로 신뢰를 회복하겠다”고 말했다. KT는 내년 1월까지 정부에 재발 방지 이행 계획을 제출하고, 6월까지 이행 여부에 대한 점검을 받을 예정이다.
전 고객 데이터·OTT·보험 보상… 체감액 월 4500원 수준
CEO 직속 보안 혁신 TF 출범, 제로 트러스트 전사 확대
김영섭 KT 사장이 30일 서울 종로구 광화문 사옥에서 열린 무단 소액결제 사태 및 해킹 사고 등과 관련한 브리핑을 마친 뒤 인사하고 있다./뉴스1
KT가 해킹 침해사고에 대한 책임을 인정하고, 이동통신 전 고객을 대상으로 한 위약금 면제와 전사 차원의 정보보안 체계 개편에 나섰다. 정부가 “안전한 통신 서비스 제공 의무를 위반했다”고 결론 내린 직후, KT는 고객 신뢰 회복을 위한 보상과 재발 방지 대책을 내놨다.
KT는 30일 서울 광화문 사옥에서 ‘침해사고 관련 대고객 사과와 정보보안 혁신방안’ 기자간담회를 열고, 이동통신 서비스를 해지하는 고객에 대해 위약금을 전액 면제한다고 밝혔다. 적용 기간은 이날부터 2026년 1월 13일까지 2주간이며, 2025년 9월 1일부터 12월 30일 사이 이미 해지한 고객에게도 소급 적용된다. 위약금은 고객 신청을 거쳐 환급 방식으로 지급된다.
김영섭 KT 사장은 “침해사고로 고객께 큰 불안과 불편을 드린 점에 대해 깊이 사과드린다”며 “조사 결과를 매우 엄중하게 받아들이고, 정보보호 시스템의 문제를 넘어 고객 신뢰 회복을 회사의 최우선 과제로 삼겠다”고 밝혔다. 사고 경위에 대한 구체적 책임 공방보다는 보상 이행과 재발 방지에 발언의 초점을 맞췄다.
KT는 위약금 면제와 별도로, 서비스를 유지하는 전 고객을 대상으로 ‘고객 보답 프로그램’을 시행한다. 2026년 2월부터 6개월간 매월 100GB의 데이터를 자동 제공하고, 로밍 데이터는 50% 추가 제공한다. OTT 서비스 2종 중 1종을 선택해 6개월간 이용할 수 있도록 하고, 커피·영화·베이커리 등 생활 밀착형 멤버십 할인도 6개월간 제공한다. 휴대전화 피싱·해킹 피해와 온라인 거래 사기 등을 보상하는 ‘안전·안심 보험’은 2년간 제공되며, 만 65세 이상 고객은 별도 신청 없이 자동 가입된다.
권희근 KT 마케팅혁신본부장이 30일 서울 종로구 광화문 사옥에서 열린 무단 소액결제 사태 및 해킹 사고 등과 관련한 브리핑에서 고객 보상 패키지와 관련해 설명하고 있다./연합뉴스
KT는 해당 보상 패키지의 체감 가치를 월 기준 약 4500원 수준으로 추산했다. 요금 할인 대신 데이터·콘텐츠·보험 형태의 보상을 선택한 배경에 대해 KT 측은 “일회성 요금 감면보다 장기간 다수 고객이 실제로 활용할 수 있는 혜택에 초점을 맞췄다”고 설명했다. 다만 무제한 요금제 이용자 등 일부 고객에게는 체감도가 낮을 수 있다는 지적도 나왔다.
이번 조치는 정부의 최종 조사 결과 발표 직후 나왔다. 민관합동조사단은 KT 서버 3만3000여 대를 6차례 점검한 결과, 서버 94대에서 악성코드 103종이 발견됐으며, 불법 초소형 기지국(펨토셀)을 통해 문자·통화 내용이 평문으로 탈취될 가능성이 있었던 것으로 판단했다. 과학기술정보통신부는 이를 ‘이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 사례’로 보고, 약관상 위약금 면제 사유에 해당한다고 결론 내렸다.
KT는 재발 방지를 위해 CEO 직속의 ‘정보보안 혁신 TF’를 출범시켰다. IT·네트워크·IPTV·조직·재무 등 6개 분과로 구성된 TF에는 약 60명의 임직원이 참여하며, 기존 IT 보안 중심의 CISO 조직을 넘어 전사 보안 거버넌스를 재설계하는 역할을 맡는다. TF는 경영진이 직접 진행 상황을 점검하는 구조로 운영된다.
기술적 조치도 병행된다. KT는 불법 펨토셀의 제작·납품·설치·회수 전 과정을 재정비하고, 장비 인증 절차를 강화해 미등록 장비의 네트워크 접속을 원천 차단했다. 전 서버에 대한 악성코드 제거를 완료했으며, 화이트해커와 협력해 상시 점검 체계를 운영한다. 서버·애플리케이션 로그 보관 기간을 대폭 확대하고, 네트워크·IT·미디어 보안을 통합 관제하는 체계도 구축한다.
중장기적으로는 향후 5년 간 1조원 규모의 정보보안 투자를 집행하고, 필요 시 추가 투자도 검토한다. 제로 트러스트 보안 체계(내부망·외부망을 구분하지 않고 모든 접속을 검증하는 방식)를 클라우드·AI 서비스 수준을 넘어 내부 시스템과 협력사까지 전사적으로 확대 적용하고, 보안 사고 대응 프로세스와 책임 체계도 전면 개편한다는 계획이다.
김 사장은 “이번 사고는 단순한 기술적 문제가 아니라 KT 보안 관리 전반에 대한 경고”라며 “국가 기간통신사업자로서 책임을 통감하고, 말이 아닌 변화된 모습으로 신뢰를 회복하겠다”고 말했다. KT는 내년 1월까지 정부에 재발 방지 이행 계획을 제출하고, 6월까지 이행 여부에 대한 점검을 받을 예정이다.
