무단 소액결제 사고가 발생했던 KT에 대해 정부가 "침해사고에 과실이 있고, 안전한 통신서비스 의무를 다하지 못했다"며 전체 이용자 대상 위약금을 면제해야 한다고 판단했다.
과학기술정보통신부는 29일 정부서울청사에서 브리핑을 열고 민관합동조사단의 조사 결과를 발표하며 이같이 밝혔다.
조사단에 따르면 불법 초소형 기지국(펨토셀)을 활용한 소액결제 및 개인정보 유출 사고의 개인정보 유출 피해자는 2만2227명으로 확인됐으며, 무단 소액결제 피해자는 368명, 결제 규모는 2억4300만원으로 최종 집계됐다.
KT는 펨토셀 인증서 관리, 외주사 보안 관리 및 자사 망에 대한 비정상 IP 접속 관리 등에서 총체적인 부실이 드러났다.
조사단은 "기본적인 보안 조치 과정에서 명백한 문제점이 있었으며 KT가 정보통신망법을 위반한 사실도 확인했다"며 사업자의 주의 의무를 다하지 못했을 뿐 아니라 관련 법령을 위반했으므로 KT가 과실이 있는 것으로 판단했다.
이어 "펨토셀 부실 관리로 인해 평문의 문자와 통화 탈취 위험성이 드러났고, 이는 전체 KT 이용자가 위험성에 노출됐던 것"이라며 "안전한 통신 서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다. 전체 이용자를 대상으로 KT 이용 약관상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다"고 설명했다.
과기정통부가 위약금 면제 규정 적용에 대해 5개 기관에 법률 자문을 진행한 결과 4개 기관이 위약금 면제 적용이 가능하다는 의견을 냈다.
조사 결과 불법 펨토셀은 언제 어디서든 KT 내부망에 접속할 수 있었으며, 결제 인증 정보 외에도 이용자 단말기에서 송·수신되는 문자와 음성통화 정보 탈취까지 가능했던 것으로 확인됐다.
공격 방식을 보면 공격자들은 불법 펨토셀에 KT 펨토셀 인증서 등을 복사해 내부망에 접속한 다음 불법 펨토셀이 강한 전파를 방출하도록 해 KT 단말기가 정상 기지국이 아닌 불법 펨토셀에 연결되도록 했다.
이후 펨토셀에 연결된 피해 고객의 전화번호와 가입자식별번호(IMSI), 단말기 식별번호(IMEI)를 탈취했고, 이를 미상의 경로로 취득한 성명, 생년월일과 같은 개인정보와 결합해 무단 소액결제를 진행한 것으로 조사단은 결론을 내렸다.
이 과정에서 KT가 통신 구간 적용하는 종단간 암호화가 불법 펨토셀에 의해 해지됐던 것으로 드러났다. 불법 펨토셀을 통해 고객에 전달되는 인증 정보뿐만 아니라 문자나 통화까지 가로챌 수 있었던 것이다. 다만 실제 탈취 흔적은 발견되지 않았다고 조사단은 덧붙였다.
불법 펨토셀 침해 사고 외에도 조사단이 3만3000여대의 KT 전체 서버에 대한 전수 조사를 진행한 결과, 총 94대의 KT 서버가 악성코드에 감염됐음이 확인됐다.
SK텔레콤 해킹 때도 포착된 BPF도어를 포함해 루트킷 등 103종의 악성코드가 확인됐으며, 일부 악성코드는 2022년 4월부터 침투했던 것으로 나타났다.
특히 KT는 지난해 3월부터 7월 기간에 감염 서버를 발견했음에도 정부에 신고하지 않고 서버 41대에 대해 자체 조치를 진행했다. 나머지 53대는 올해 외부 보안 업체를 통한 점검에서 감염 사실이 확인됐다.
악성코드 감염 서버의 경우 정보 유출 정황이 확인되지 않았다. 다만 KT가 서버 로그 기록을 보관하는 기관이 1~2개월에 불과해 기록이 남아있지 않은 기간에 대해서는 유출 여부 확인이 불가능하다.
정부는 조사 과정 중 확인된 KT의 침해사고 신고 지연과 미신고, 허위 보고를 통한 조사 방해 등에 대해 과태료를 부과하고 수사기관에 수사를 의뢰한 상황이다.
박성대 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스
Copyright ⓒ 비즈니스플러스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
