"KT 위약금 면제·LG유플러스는 수사 의뢰"…과기정통부, 민관합동조사 결과 발표

김영섭 KT 대표가 지난 9월11일 KT 사옥에서 열린 브리핑에서 무단 소액결제 사태에 대해 사과했다. = 박지혜 기자

[프라임경제] 정부가 KT 침해사고와 관련해 회사의 과실을 인정했다. 이에 전체 가입자를 대상으로 위약금 면제가 가능하다는 판단을 내렸다. 반면 LG유플러스 침해사고는 핵심 서버 폐기 등으로 사고 경위 규명이 어렵다고 판단해 수사기관에 수사를 의뢰했다.

과학기술정보통신부(이하 과기정통부)는 29일 이같은 내용을 담은 KT·LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표했다. 아울러 KT 이용약관상 위약금 면제 규정 적용 여부에 대한 검토 결과도 함께 덧붙였다.

조사단에 따르면 KT 침해사고는 불법 펨토셀 악용과 서버 악성코드 감염이 복합적으로 작용했다. 불법 펨토셀을 통해 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등 개인정보가 유출됐고, 이를 결제 인증 정보와 결합해 무단 소액결제가 이뤄진 것으로 조사됐다.

이번 사고로 개인정보가 유출된 가입자는 2만2227명이다. 무단 소액결제 피해자는 368명(777건), 피해 금액은 2억4300만원 규모로 집계됐다. 조사단은 KT 전체 서버 약 3만3000대를 점검한 결과, 94대 서버에서 BPF도어, 루트킷 등 악성코드 103종이 감염된 사실도 확인했다.

이는 지난해 8월1일부터 올해 9월10일까지 기지국 접속기록 4조300억건, 통신결제대행 기록 1억5000만건, 음성·문자(SMS) 기록 978건, 고객문의(VoC) 30만건 이상을 분석해 산출한 결과다.

다만 통신결제 관련 데이터가 남아있지 않은 지난해 7월31일 이전에 대해서는 추가 피해 여부 확인이 불가능했다.

사고 원인으로는 펨토셀 보안 관리 부실이 지목됐다. KT는 모든 펨토셀에 동일한 제조사 인증서를 적용하고 인증서 유효기간을 10년으로 설정해, 불법 펨토셀이 내부망에 접속할 수 있는 구조를 방치한 것으로 나타났다. 비정상 IP 접속 차단, 펨토셀 형상정보 검증 등 기본적인 보안 조치도 미흡했던 것으로 조사됐다.

또 불법 펨토셀을 통해 통신 종단 암호화가 해제되면서 ARS·SMS 등 결제 인증 정보가 평문으로 전송될 수 있었던 점도 확인됐다. 일부 단말의 경우 암호화 설정 자체가 지원되지 않아 보안 취약성이 더욱 컸던 것으로 파악됐다.

조사단은 KT가 악성코드 감염 사실을 인지하고도 일부 서버에 대해 신고하지 않거나 지연 신고한 점을 정보통신망법 위반으로 판단했다. 서버 폐기 시점을 허위로 제출하는 등 조사 방해 정황도 확인돼 수사기관에 수사를 의뢰했다.

과기정통부는 이러한 조사 결과를 종합해 KT 침해사고가 '회사의 귀책 사유'에 해당한다고 결론냈다. 

펨토셀 관리 부실로 인해 평문의 문자·음성 통화 탈취 위험이 일부 피해자에 국한되지 않고 전체 이용자에게 노출됐다는 점에서, 안전한 통신서비스 제공이라는 계약상 주된 의무를 다하지 못했다고 판단했다.

이에 따라 정부는 KT 이용약관상 위약금 면제 규정 적용이 가능하다는 입장을 밝혔다. 과기정통부는 KT에 내년 1월까지 재발방지 대책 이행계획을 제출하도록 하고, 내년 상반기 중 이행 여부를 점검할 계획이다. 

이외에도 고의적인 침해사고 미신고에 따른 피해확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화도 추진한다.

KT 불법 펨토셀에 의한 침해사고. ⓒ 과학기술정보통신부

한편 LG유플러스 침해사고와 관련해서는 익명 제보를 통해 일부 자료 유출 정황이 확인됐다. 조사단은 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 계정 정보, 임직원 성명 등이 실제 유출된 사실을 확인했다.

다만 자료가 유출됐을 것으로 추정되는 핵심 서버와 관련 네트워크 장비가 운영체제 재설치 또는 폐기되면서, 침해 경로와 범위를 명확히 규명하는 데 한계가 있었다는 판단이다. 해당 조치는 한국인터넷진흥원(KISA)이 침해사고 정황을 안내한 이후 이뤄진 것으로 확인됐다.

조사단은 이같은 서버 재설치·폐기 행위가 정부 조사를 방해한 부적절한 조치에 해당한다고 보고, LG유플러스에 대해서도 위계에 의한 공무집행 방해 혐의로 경찰에 수사를 의뢰했다. 

이와 관련해 LG유플러스는 "수사에 성실히 임하겠다"는 입장을 밝혔다.

배경훈 부총리 겸 과기정통부장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영 핵심가치로 삼아야 한다"고 강조했다.

이어 "정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침돼야 한다는 점을 인식하고 정보보호 역량을 고도화하는 데 최선을 다하겠다"며 "국민들이 혁신적인 AI 서비스를 안심하고 누릴 수 있는 환경을 만들도록 노력하겠다"고 강조했다.