KT 침해사고 '회사 귀책' 결론 정부 "위약금 전면 면제 대상"...LG유플은 수사 의뢰

[아이뉴스24 안세준 기자] 정부가 KT 침해사고를 두고 이용약관상 위약금 면제 대상에 해당한다는 결론을 내렸다. 불법 펨토셀 관리 부실 등 KT의 명백한 과실로 '안전한 통신서비스 제공'이라는 계약상 핵심 의무를 위반했다는 판단이다. LG유플러스에 대해서는 신고가 늦어 원인 분석이 어려워진 책임을 물어 공무집행방해 혐의로 수사를 의뢰했다.

"펨토셀 관리 총체적 부실"…KT 과실 인정

과학기술정보통신부는 29일 KT·LG유플러스 침해사고에 대한 민관합동조사 결과를 이같이 발표했다. 과기정통부는 KT에 대해 회사 귀책 사유에 따른 위약금 전면 면제 대상이라고 판단했다.

KT 이용약관은 '기타 회사의 귀책 사유인 경우'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다. 과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부 검토를 위해 법률 자문을 진행했다.

조사 결과 KT 침해사고 핵심 원인은 불법 펨토셀 관리 실패로 드러났다. 펨토셀 인증서를 장기간(10년) 동일하게 사용했고, 비정상 IP나 장비 접속을 차단하지 않아 불법 기기가 내부망에 쉽게 접속 가능한 구조를 방치했다는 것이다.

이로 인해 가입자 2만2000여명 IMSI·IMEI·전화번호가 유출됐고 368명에게서 약 2억4000만원 규모의 무단 소액결제 피해가 발생했다는 판단이다. 정부는 "펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었으며, 이 과정에서 KT가 정보통신망법을 위반한 사실도 확인했다"고 밝혔다.

법률 자문 4개 기관은 KT의 펨토셀 관리부실에 대해 전체 이용자에 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

악성코드 94대 서버 감염…미신고·조사 방해도 확인

조사단은 KT 서버 94대에서 BPF도어·루트킷 등 악성코드 103종 감염 사실도 확인했다. 일부는 KT가 이미 인지하고도 정부에 신고하지 않은 채 자체 조치한 것으로 드러났다.

KT가 2024년 3월부터 7월까지 감염서버를 발견했음에도 정부에 신고 없이 자체 조치한 악성코드 감염서버는 총 41대다. BPf도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종을 확인했다.

민관합동조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장돼 있으나 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다.

과기정통부에 따르면, 공격자는 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 이후 불법 펨토셀이 강한 전파를 방출해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 했다. 해당 셀에 연결된 피해자 전화번호, IMSI, IMEI 등의 정보를 탈취했다는 설명이다.

공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정했다. 피해자 개인정보로 상품권 구매 사이트를 접속해 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취·무단 소액결제를 진행한 것으로 판단된다.

다만 KT 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었다. 이에 로그기록이 남아있지 않은 기간에 대한 유출 여부는 확인하지 못했다.

침해사고 인지 후 24시간 이내 미신고 KT에 과태료

또한 정부는 침해사고가 발생한 KT에 대해 과태료를 부과하기로 했다. 정보통신망법에 따라 침해사고가 발생하면 이를 인지한 후 24시간 이내 신고해야 하지만 KT는 발생 사고에 대해 지연신고를 하거나 신고 자체를 하지 않았다는 이유에서다. 정보통신망법 제76조에 따라 3000만원 이하 과태료 부과 대상이다.

정부에 따르면 KT는 프랙 보고서에 제보된 침해 정황 서버와 관련해 올해 8월1일 서버를 폐기하였다고 답변했다. 조사단에 폐기 시점을 허위 제출하고 폐기 서버 백업 로그가 있음에도 불구하고 지난 9월18일까지 조사단에 이를 보고하지 않았다는 설명이다.

정부는 조사를 방해한 것으로 판단했다. 고의성이 있다고 보고 형법 제137조(위계에 의한 공무집행방해)에 따라 수사기관에 수사를 10월2일 의뢰했다.

LG유플러스도 자료 유출…증거 훼손 의혹

LG유플러스 조사에서는 서버 목록·계정 정보·임직원 이름 등 내부 자료가 실제 유출된 사실이 확인됐다. 다만 유출 경로로 지목된 서버들이 OS 재설치 또는 폐기되면서 침투 방식과 피해 범위에 대한 정밀 분석은 불가능해졌다.

정부는 이 과정이 KISA의 사고 인지 이후 이뤄졌다는 점을 문제 삼아 LG유플러스 역시 공무집행방해 혐의로 수사를 의뢰했다.

배경훈 부총리는 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 말했다.

이어 "정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침되어야 한다는 점을 인식하고 정보보호 역량을 고도화하는 데 최선을 다하겠다"고 덧붙였다.