SK텔레콤에 이어 KT도 통신사 과실에 따른 침해사고로 위약금 면제가 가능해졌다. 정부는 KT가 펨토셀 보안 관리를 소홀히 하면서 불법 장비의 내부망 접속을 허용했고, 이로 인해 개인정보 유출과 무단 소액결제 피해가 발생했다고 판단했다. 다만 서버 로그 보관 기간이 짧고 일부 시스템이 이미 조치·폐기돼 사고 전반을 모두 규명하는 데는 한계가 있었다는 점도 함께 지적됐다.
과학기술정보통신부과 민관합동조사단은 29일 서울 정부청사에서 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표하고, KT 이용약관상 위약금 면제 규정 적용이 가능하다는 결론을 내렸다.
정부는 이번 사고가 ‘안전한 통신서비스 제공’이라는 계약상 주된 의무를 위반한 회사 귀책 사유에 해당한다고 판단했다.
이는 앞서 SKT 침해사고에서 통신사 책임을 인정한 데 이어, 주요 통신사 전반의 보안 관리 책임을 명확히 한 두 번째 사례다. 다만 SKT 사례와 달리 KT와 LG유플러스의 경우 조사 과정에서 확인되지 않은 영역이 상당 부분 남았다는 점에서 논란의 여지도 남겼다.
조사 결과 KT 침해사고의 핵심 원인은 펨토셀 관리 체계 전반의 구조적 부실로 나타났다. KT는 펨토셀 제품에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정해 복제와 악용 가능성을 키운 것으로 확인됐다. 비정상 IP 접속 차단이나 펨토셀 고유 정보에 대한 검증 절차도 제대로 갖추지 않아 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있는 환경이 조성됐다는 게 조사단의 판단이다.
공격자는 KT 인증서와 서버 IP 정보가 담긴 불법 펨토셀을 이용해 내부망에 접속한 뒤, 강한 전파를 송출해 인근 단말기가 정상 기지국 대신 불법 펨토셀에 연결되도록 유도했다. 이 과정에서 가입자 식별번호, 단말기 식별번호, 전화번호 등이 탈취됐고, 탈취한 정보는 무단 소액결제 범행에 활용된 것으로 조사됐다.
조사단은 이번 사고로 2만2227명의 개인정보가 유출됐고, 368명이 777건의 무단 소액결제 피해를 입어 피해 금액이 2억4300만원에 달한다고 밝혔다. 다만 통신 결제 관련 데이터가 남아 있지 않은 일부 기간에 대해서는 추가 피해 여부를 확인할 수 없다고 밝혔다.
류제명 과기정통부 제 2차관은 "이번 KT 해킹 공격은 SKT 해킹 패턴과 유사했다"면서도 "정밀적으로 분석하기에는 정보가 많이 부적해 동일 공격자로 단정짓기는 힘들다"고 진단했다.
특히 치명적인 문제로는 통신 암호화 체계 붕괴가 지목됐다. 정상적인 통신 환경에서는 유지돼야 할 종단 암호화가 불법 펨토셀에 의해 무력화되면서, 결제 인증 정보는 물론 문자와 음성 통화가 평문 상태로 노출될 수 있었던 것으로 확인됐다. 조사단은 이를 단순한 개인정보 유출을 넘어 통신의 신뢰성과 안전성 자체를 훼손한 사안으로 평가했다.
KT의 서버 보안 관리도 도마에 올랐다. KT 전체 서버 약 3만3000대를 점검한 결과 94대 서버에서 총 103종의 악성코드가 발견됐다. 일부 서버는 KT가 이미 감염 사실을 인지하고도 정부에 신고하지 않은 채 자체 조치한 것으로 드러났다. 특히 시스템 로그 보관 기간이 1개월에서 2개월에 불과해 최초 침투 시점과 정보 유출 여부를 명확히 규명하는 데 구조적인 한계가 있었다는 점이 지적됐다.
과기정통부는 이러한 조사 결과를 토대로 KT 이용약관상 위약금 면제 규정 적용 여부를 검토했다. 다수의 법률 자문 기관은 이번 침해사고를 KT의 과실로 판단했고, 펨토셀 관리 부실은 전체 이용자에게 안전한 통신서비스를 제공해야 할 계약상 핵심 의무를 위반한 사안이라는 의견을 제시했다.
정부는 특히 이번 사고로 인한 통신 보안 위험이 소액결제 피해를 입은 일부 이용자에 국한되지 않고 KT 전체 이용자가 노출됐다고 판단했다. 이에 따라 이번 침해사고는 이용약관에서 규정한 회사 귀책 사유에 해당하며, 이용자가 계약을 해지할 경우 위약금 면제가 가능하다는 결론을 내렸다. 다만 위약금 면제의 소급 시점과 적용 기간은 SKT 사례와 마찬가지로 KT가 자율적으로 결정해야 한다는 입장이다.
한편 LG유플러스 침해사고와 관련해서는 익명 제보자가 주장한 일부 자료 유출 사실이 확인됐지만, 관련 서버의 운영체제 재설치와 폐기 등으로 인해 침해 경로와 범위를 명확히 확인하는 데는 한계가 있는 것으로 파악됐다.
조사단은 LG유플러스가 침해사고 정황을 인지한 이후 관련 서버를 재설치하거나 폐기한 점을 문제 삼아 위계에 의한 공무집행 방해 혐의로 경찰에 수사를 의뢰했다.
민관합동조사단은 이번 조사 결과가 사고의 전모를 모두 규명했다고 보기는 어렵다고 설명했다. 이로 인해 로그 부재로 확인되지 않은 기간과 추가 유출 가능성에 대한 의문은 여전히 남을 것으로 관측된다.
민관합동조사단 관계자는 “이번 조사는 단순히 데이터를 원상 복구하는 방식이 아니라, 삭제된 영역과 저장장치에 물리적으로 남아 있는 정보를 분석해 해킹 흔적을 찾는 포렌식 방식으로 진행됐다”며 “다만 시스템 로그가 1개월에서 2개월 단위로만 저장돼 있어 9월 9일을 기준으로 약 7월 9일 이전의 기록은 확인이 불가능했다”고 밝혔다. 이어 “이로 인해 최초 침투 시점이나 초기 유출 여부를 모두 특정하는 데에는 기술적 한계가 있었다”고 덧붙였다.
Copyright ⓒ 아주경제 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
