KISA 신고한 8일 '전자서명인증 업무준칙' 개정안 공지
배상책임·배상한계 조항 수정…'KT 책임 면제' 부분만 남아
![[서울=뉴시스] 박민석 기자 = 서울 종로구 KT 이스트 사옥 앞에 KT 로고의 모습이 보이고 있다. 2020.07.05. mspark@newsis.com](https://img1.newsis.com/2020/07/05/NISI20200705_0016452181_web.jpg?rnd=20200705133508)
[서울=뉴시스] 박민석 기자 = 서울 종로구 KT 이스트 사옥 앞에 KT 로고의 모습이 보이고 있다. 2020.07.05. [email protected]
[서울=뉴시스]윤현성 기자 = KT가 무단 소액결제 사건이 발생한 이후 정부에 사이버 침해 사실을 신고한 당일 서비스 배상 관련 규정을 변경한 것으로 나타났다.
11일 업계에 따르면 KT는 지난 8일 '전자서명인증 업무준칙' 2.3 개정 버전을 공지하고 오는 15일부터 개정 버전을 시행하겠다고 밝혔다.
KT의 전자서명인증 업무준칙은 'PASS(패스)' 앱과 같은 휴대폰 본인확인 인증서비스 등에 대한 규정 등을 명확히 하기 위해 지난 2021년 제정됐다.
해당 업무준칙 또한 첫 조항을 통해 "KT는 전자문서의 안전성 및 신뢰성을 확보하고, 그 이용을 활성화하기 위해 제정된 전자서명법에 의거 전자서명인증사업자로서 인증시스템을 구축해 운영하고 있다"며 "전자서명인증 업무준칙은 전자서명인증서비스 제공에 관련한 필요한 사항을 정하고 전자서명인증업무 관련 당사자의 책임과 의무를 규정함을 목적으로 한다"고 명시하고 있다.
실제로 해당 준칙은 패스 앱 등을 통한 인증서 발급 방법, 인증서 변경 혹은 폐지 사유, 서비스 가입 해지 방법, 전자문서 관리 시설 운영 기준, 전자서명 생성정보 보호 조치 등의 내용을 담고 있다.
지난 8일 개정안은 이 가운데 배상 부분에 대한 조항을 수정했다.
기존 업무준칙은 KT의 '배상책임'과 관련해 "KT는 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 때에도 책임을 부담한다"고 명시했다.
하지만 개정안에서는 이같은 내용이 "KT는 전자서명인증시스템 암호 운영 관련 전반에서 안전성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 때에도 배상책임을 부담한다"고 변경됐다.
'배상한계' 관련 조항도 수정됐다. 기존 업무준칙에서는 "KT는 가입자 또는 인증서를 신뢰하는 이용자에게 발생하는 손해에 대해 그 손해를 배상한다. 다만 KT가 고의 또는 과실이 없는 경우에는 그 배상책임이 면제된다"고 규정돼있었다.
개정안은 이같은 조항에서 이용자 손해 부분을 삭제하고 "KT가 고의 또는 과실이 없는 경우에는 그 배상책임이 면제된다"라는 내용만 남았다.
KT가 이같은 개정안을 안내한 8일은 최근 경기도 광명 일대에서 발생한 소액결제 피해와 관련해 한국인터넷진흥원(KISA)에 침해 사고사실을 신고한 날이다. KT는 피해자의 통화기록 분석을 통해 미등록 기지국 접속을 8일 오후에 확인했고, 당일 저녁 7시 16분 침해사고 사실을 신고했다.
과학기술정보통신부와 KT 등에 따르면 KT 고객을 대상으로 발생한 무단 소액결제 침해사고로 인해 현재까지 278건, 약 1억7000만원의 금전 피해가 발생한 것으로 파악됐다.
아직 정확한 피해 발생 원인은 파악되지 않았으나 미등록 불법 초소형 기지국을 통해 공격이 이뤄진 것으로 추정되고 있다. 과기정통부와 KT는 민관합동조사단의 정밀 조사를 통해 구체적인 경위를 파악할 예정이다.
KT는 무단 소액결제로 인한 피해를 입은 이용자들에 대해서는 피해 금액 전액을 청구하지 않기로 했다.
KT는 "이번 개정은 사이버침해 피해 신고 건과는 아무런 관련이 없는 사항이다. 전자서명법에 따라 매년 전자서명인증업무준수사실을 심사를 받은 뒤 통상 9월께 준칙 개정을 하고 있고, 작년과 재작년에도 동일 절차를 거쳤다"며 "또 개정안에서도 중복된 문구를 정리한 것이지 배상 책임은 빠지지 않았다. 배상 관련 조항도 여전히 업무준칙에 담겨있다"고 설명했다.
◎공감언론 뉴시스 [email protected]
11일 업계에 따르면 KT는 지난 8일 '전자서명인증 업무준칙' 2.3 개정 버전을 공지하고 오는 15일부터 개정 버전을 시행하겠다고 밝혔다.
KT의 전자서명인증 업무준칙은 'PASS(패스)' 앱과 같은 휴대폰 본인확인 인증서비스 등에 대한 규정 등을 명확히 하기 위해 지난 2021년 제정됐다.
해당 업무준칙 또한 첫 조항을 통해 "KT는 전자문서의 안전성 및 신뢰성을 확보하고, 그 이용을 활성화하기 위해 제정된 전자서명법에 의거 전자서명인증사업자로서 인증시스템을 구축해 운영하고 있다"며 "전자서명인증 업무준칙은 전자서명인증서비스 제공에 관련한 필요한 사항을 정하고 전자서명인증업무 관련 당사자의 책임과 의무를 규정함을 목적으로 한다"고 명시하고 있다.
실제로 해당 준칙은 패스 앱 등을 통한 인증서 발급 방법, 인증서 변경 혹은 폐지 사유, 서비스 가입 해지 방법, 전자문서 관리 시설 운영 기준, 전자서명 생성정보 보호 조치 등의 내용을 담고 있다.
지난 8일 개정안은 이 가운데 배상 부분에 대한 조항을 수정했다.
기존 업무준칙은 KT의 '배상책임'과 관련해 "KT는 전자서명인증시스템 암호 운영 관련 전반에서 가입자 또는 이용자에게 손해가 발생하였을 때에도 책임을 부담한다"고 명시했다.
하지만 개정안에서는 이같은 내용이 "KT는 전자서명인증시스템 암호 운영 관련 전반에서 안전성을 확보하기 위해 충분한 기술적, 정책적 노력을 취해야 하며, 그렇지 않은 사유로 인해 가입자 또는 이용자에게 손해가 발생하였을 때에도 배상책임을 부담한다"고 변경됐다.
'배상한계' 관련 조항도 수정됐다. 기존 업무준칙에서는 "KT는 가입자 또는 인증서를 신뢰하는 이용자에게 발생하는 손해에 대해 그 손해를 배상한다. 다만 KT가 고의 또는 과실이 없는 경우에는 그 배상책임이 면제된다"고 규정돼있었다.
개정안은 이같은 조항에서 이용자 손해 부분을 삭제하고 "KT가 고의 또는 과실이 없는 경우에는 그 배상책임이 면제된다"라는 내용만 남았다.
KT가 이같은 개정안을 안내한 8일은 최근 경기도 광명 일대에서 발생한 소액결제 피해와 관련해 한국인터넷진흥원(KISA)에 침해 사고사실을 신고한 날이다. KT는 피해자의 통화기록 분석을 통해 미등록 기지국 접속을 8일 오후에 확인했고, 당일 저녁 7시 16분 침해사고 사실을 신고했다.
과학기술정보통신부와 KT 등에 따르면 KT 고객을 대상으로 발생한 무단 소액결제 침해사고로 인해 현재까지 278건, 약 1억7000만원의 금전 피해가 발생한 것으로 파악됐다.
아직 정확한 피해 발생 원인은 파악되지 않았으나 미등록 불법 초소형 기지국을 통해 공격이 이뤄진 것으로 추정되고 있다. 과기정통부와 KT는 민관합동조사단의 정밀 조사를 통해 구체적인 경위를 파악할 예정이다.
KT는 무단 소액결제로 인한 피해를 입은 이용자들에 대해서는 피해 금액 전액을 청구하지 않기로 했다.
KT는 "이번 개정은 사이버침해 피해 신고 건과는 아무런 관련이 없는 사항이다. 전자서명법에 따라 매년 전자서명인증업무준수사실을 심사를 받은 뒤 통상 9월께 준칙 개정을 하고 있고, 작년과 재작년에도 동일 절차를 거쳤다"며 "또 개정안에서도 중복된 문구를 정리한 것이지 배상 책임은 빠지지 않았다. 배상 관련 조항도 여전히 업무준칙에 담겨있다"고 설명했다.
◎공감언론 뉴시스 [email protected]
