![서울 종로구 KT 본사의 모습. [사진=뉴시스]](https://images-cdn.newspic.kr/detail_image/564/2025/12/29/35ae1ed3-6c2f-4cfa-a1f4-fc029792ab94.jpg?area=BODY&requestKey=w3Hru72p)
【투데이신문 이유라 기자】 KT가 해킹·소액결제 침해 사고에 대한 책임이 무거워졌다. 정부의 공식 발표로 KT의 부실 관리와 정보보호 활동 미흡이 재차 확인되면서 파문이 커지고 있다.
과학기술정보통신부는 29일 KT 침해 사고에 대한 민관합동조사단의 최종 조사 결과를 발표하며 KT의 총체적인 보안 부실이 이용자의 계약 해지를 정당화할 수 있는 사유에 해당한다고 밝혔다.
조사단에 따르면 KT 해킹 공격자는 불법 펨토셀에 KT의 펨토셀 인증서와 KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 이후 정상 기지국에 접속하던 단말기가 불법 펨토셀에 연결되도록 유도해 피해자의 전화번호와 가입자 식별번호(IMSI), 단말기 고유번호(IMEI) 등을 탈취했다. 이에 따라 368명이 무단 소액결제 피해를 보았으며, 피해 규모는 총 2억4300만원에 달했다.
공격자는 불법 펨토셀에서 탈취한 통신 정보를 개인정보와 결합해 피해자를 선별한 뒤, 상품권 구매 사이트에 접속해 상품권 구매를 시도했다. 이 과정에서 피해자에게 전달되는 ARS 인증번호와 SMS 인증 정보를 탈취해 무단 소액결제를 진행한 것으로 조사됐다.
또 KT 전체 서버 점검과 감염 서버 포렌식 결과, 총 94대 서버에서 BPFDoor와 루트킷 등 악성코드 103종이 발견됐다.
조사단은 KT의 펨토셀 보안 체계가 전반적으로 미흡해 불법 펨토셀이 내부망에 쉽게 접속할 수 있는 환경이었다고 설명했다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어, 해당 인증서를 복사할 경우 내부망 접속이 가능했던 것으로 확인됐다.
아울러 KT 인증서의 유효기간이 10년으로 설정돼 과거 한 차례라도 KT망 접속 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었던 것으로 나타났다. KT는 펨토셀 접속 인증 과정에서 외부 비정상 IP를 차단하지 않았고, KT망 등록 여부에 대한 검증도 수행하지 않았다.
특히 KT는 아이폰 16 이하 일부 단말기에 대해 암호화 설정 자체를 지원하지 않은 것으로 조사됐다.
조사단은 이번 침해 사고 조사 과정에서 KT가 보안 점검 미흡, 보안 장비 부족, 로그 단기 보관 등 기본적인 정보보호 활동을 구조적으로 이행하지 않았다는 점을 확인했다.
과기정통부는 해당 침해 사고가 KT 이용 약관상 위약금 면제 규정에 해당하는지를 법률 자문을 통해 검토한 결과, KT의 과실에 해당한다고 판단했다. 법률 자문 기관은 펨토셀 관리 부실이 전체 이용자에게 안전한 통신 서비스를 제공해야 할 계약상 의무를 위반한 것으로 보고, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 다만 정보 유출이 확인되지 않은 이용자에 대해서는 위약금 면제 적용이 어렵다는 의견도 함께 제시했다.
과기정통부는 조사 결과를 토대로 KT에 재발 방지 대책과 이행 계획을 내년 1월까지 제출하도록 했다. 이행 여부는 내년 6월까지 점검할 예정이다. 점검 결과 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정 조치를 명령할 방침이다.
KT 이사회는 빠르면 내일 소액결제 및 개인정보 유출 관련 보상안을 결정할 예정이다. 정부 조사가 발표된 만큼 서둘러 보상안 문제를 해결하겠다는 방침이다.
Copyright ⓒ 투데이신문 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
