|
과학기술정보통신부와 경기남부경찰청은 29일 정부서울청사에서 KT·LG유플러스 침해 사고에 대한 민관합동조사단 조사 결과를 발표했다.
조사 결과 KT는 외부에서 유입된 불법 팸토셀(초소형 기지국)이 내부망에 무단 접속하는 것을 막지 못해 이용자 2만 2227명의 식별 번호와 전화번호가 유출되고 368명에게 약 2억4300만 원 상당의 소액 결제 피해가 발생했다.
또 지난해와 올해에 걸쳐 총 94대 서버에서 BPF도어 등 악성코드 103종이 감염된 사실이 드러났으며, 불법 팸토셀 접속 시 아이폰 16 이하 단말은 통신 암호화가 해제돼 문자나 통화 내용이 평문으로 노출될 위험이 있었던 것으로 밝혀졌다.
정부는 이번 사고의 원인이 KT의 팸토셀 인증서 관리 부실과 망 보안 체계 미흡에 있다고 보고, 전체 이용자를 대상으로 위약금 면제 규정을 적용할 수 있다는 결론을 내렸다. 아울러 KT가 침해 사고를 지연 신고하거나 신고하지 않은 건에 대해 과태료를 부과하고, 조사 과정에서 서버 로그를 은폐하는 등 고의적인 조사 방해 정황이 포착된 부분에 대해서는 경찰에 수사를 의뢰했다.
이어 LG유플러스는 익명의 제보를 통해 유출 정황이 포착되었으나, 회사 측이 관련 서버의 운영체제(OS)를 재설치하거나 폐기해 원인 분석이 불가능했던 것으로 확인됐다. 과기정통부는 이를 부적절한 조치로 보고 위계에 의한 공무집행 방해 혐의로 경찰에 수사를 의뢰했다.
다음은 과기정통부의 류제명 제2차관, 최우혁 네트워크정책실장, 최광기 사이버침해대응과장, 한국인터넷진흥원(KISA)의 이동근 본부장, 경기남부경찰청의 이정수 사이버수사과장과의 일문일답.
-KT 위약금 면제의 소급 적용 시점과 기간은 어떻게 되는가? 또한, SKT와 KT의 해킹 공격자가 동일범일 가능성이 있는가?
△(류제명 과기정통부 2차관) 정부는 위약금 면제 사유에 해당한다는 판단을 내린 것이며, 구체적인 소급 시점과 면제 기간은 KT가 소비자 눈높이에 맞춰 결정할 것으로 기대한다.
△(이동근 KISA 본부장) SKT 침해 사고 때 발견된 BPF도어와 유형 및 기능은 비슷하지만, 내부 코드를 정밀 분석하거나 IP 정보 등을 대조하기에는 정보가 부족하여 동일한 공격자로 단정하기는 어렵다.
-로그 기록 한계로 유출 정황이 확인되지 않았다고 하는데, 국민이 안심해도 되는가? 미상의 경로로 개인정보가 유출됐을 가능성은 없는가?
△(류제명 차관) 로그가 남아 있는 기간에는 유출 정황이 없음을 확인했으나, 로그가 없는 기간에 대해서는 유출 여부를 확인할 수 없다는 것이 조사의 한계이다. 따라서 유출되지 않았다고 단정할 수는 없다. 미상의 경로를 통한 유출 가능성은 개인정보보호위원회에서 추가 조사를 통해 밝혀질 부분이다.
-소액 결제에 필요한 개인정보 획득 경로가 불분명하다. 재발 방지 대책만으로 이용자 보호가 충분한가?
-팸토셀 환경에서 종단간 암호화가 어떻게 해제될 수 있었는가?
△(이동근 본부장) 암호화가 완료된 상태를 해제하는 것은 불가능에 가깝다. 해커는 단말과 서버가 최초로 암호화 방식을 설정하는 초기 단계를 중간에서 방해하여, 암호화 설정 없이 연결되도록 유도하는 방식을 사용했다.
-이번 해킹이 중국 정부가 주도한 공격이라는 의혹이 있는데 이에 대한 입장은 무엇인가?
△(류제명 차관) BPF도어가 중국 해커 그룹에 의해 만들어졌다는 것이 통설이나, 오픈 소스화되어 누구나 사용할 수 있으므로 특정 국가 배후를 단정하기 어렵다. 이번 조사 과정에서 국정원 등 정보기관과도 협력했다.
-KT 이용자들의 불안 해소를 위한 추가 조치는 없는가? 아이폰 16 이하 단말기에서 암호화를 지원하지 않았던 이유는 무엇인가?
△(류제명 차관) SKT 사례는 유심 정보가 직접 유출되어 교체가 필요했지만, KT는 팸토셀을 통한 망 침투 문제였다. 현재 취약점에 대한 보완 조치를 완료하여 팸토셀을 통한 침투 가능성은 없다고 판단한다. 확인된 불법 셀 ID 20개에 접속한 이용자의 통신 기록은 확인했으나 특이 정황은 없었다.
△(이동근 본부장) KT는 통화 품질이나 로밍 시 서비스 단절 등을 우려해 아이폰 16 이하 기종에 암호화를 적용하지 않았다고 소명했으나, 보안 위협을 간과한 측면이 있다. 현재는 기술적으로 암호화를 강제하도록 조치했다.
-형사 고발 대상에 CEO도 포함되는가? 정보보호 종합대책 이후에도 사고가 반복되는데 추가 대책이 있는가?
△(최우혁 과기정통부 실장) 수사 의뢰는 특정인을 지정한 것이 아니라 위계에 의한 공무집행 방해 행위 자체에 대한 것이므로 경찰 수사 과정에서 피의자가 특정될 것이다. 범정부 종합대책에 따른 점검과 소비자 보호 입법이 진행 중이며, 효과가 나타나기까지 시간이 필요하다.
-KT나 LG유플러스의 과실에 비해 처벌(과태료 3000만 원 등)이 약해 보인다. 추가 처벌은 불가능한가?
△(최우혁 실장) 공무원은 법에 근거하여 조치한다. 현행법상 가능한 조치를 확인하여 적용하고 있으며, 수사 의뢰 등을 진행했다.
-KT 아이폰 16 이하 사용자에게 문자 미암호화 사실이 고지되었는가? 다른 단말기는 안전한가?
△(이동근 본부장) 갤럭시 단말기는 기본적으로 암호화 설정이 되어 있으나, 해외 직구 단말 등 일부는 설정이 다를 수 있다. 이번 건은 암호화 설정이 되어 있어도 불법 팸토셀이 중간에서 설정을 방해하여 암호화 없이 연결되게 만든 케이스다.
-LG유플러스에 대한 조사는 수사 의뢰로 종결되는 것인가?
△(최우혁 실장) LG유플러스는 증거 인멸로 인해 더 이상 기술적 조사가 불가능하므로 수사 의뢰로 조사를 종료한다. 현재로서는 시정명령이나 과태료 부과 계획은 없다.
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
