article_right_top
KT와 LG유플러스에서 잇따라 발생한 대규모 침해사고와 관련해 정부가 통신 보안 체계 전반의 구조적 취약성을 공식 확인했다. 과학기술정보통신부는 KT의 중대한 과실을 인정하고, KT 전체 이용자에 대해 위약금 면제 대상에 해당한다는 판단을 내리는 한편, KT·LGU+ 모두에 대해 법 위반 및 수사 의뢰 조치를 병행한다고 밝혔다.
과학기술정보통신부(부총리 겸 장관 배경훈)는 12월 29일, KT·LGU+ 침해사고에 대한 민관합동조사단의 최종 조사 결과와 KT 이용약관상 위약금 면제 규정 적용 여부에 대한 법률 검토 결과를 발표했다. 이번 조사는 불법 펨토셀을 악용한 KT 침해사고와 LGU+ 서버 자료 유출 의혹을 대상으로 진행됐으며, 조사 결과 두 사건 모두 기본적인 정보보호 관리 실패와 부적절한 사고 대응이 확인됐다.
조사단에 따르면 KT 침해사고는 불법 펨토셀이 KT 내부망에 직접 접속하면서 발생했다. 공격자는 펨토셀 인증서와 서버 정보를 복사해 내부망에 침투했고, 강한 전파를 방출해 이용자 단말을 불법 펨토셀에 강제로 연결시켰다. 그 결과 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등 22,227명의 통신 식별 정보가 유출됐고, 368명에게서 777건, 총 2억 4,300만 원 규모의 무단 소액결제 피해가 발생한 것으로 확인됐다.
조사단은 피해 규모 산정 과정의 적정성을 검증한 결과, KT가 발표한 수치와 일치한다고 판단했다. 다만, 일부 기간에 대해서는 관련 로그가 남아 있지 않아 추가 피해 여부 확인은 불가능했다고 밝혔다.
KT 전체 서버(약 3만 3천 대)에 대한 조사 결과, 94대 서버에서 BPFDoor, 루트킷, 웹셸 등 악성코드 103종이 감염된 사실도 드러났다. 이 중 일부 서버는 이미 2024년 상반기에 악성코드가 발견됐음에도 정부에 신고하지 않고 자체 조치한 사실이 확인됐다. 특히 BPFDoor와 루트킷은 장기간 은닉이 가능한 고위험 악성코드로, 감염 시점과 침투 경로를 추적할 수 없을 정도로 로그 관리와 보안 장비가 부실했던 것으로 조사됐다. 조사단은 KT의 펨토셀 관리 체계를 “구조적으로 붕괴된 상태”라고 평가했다. 모든 펨토셀에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정해 한 번 접속한 장비는 사실상 무제한 내부망 접근이 가능했다.
또한 비정상 IP 차단, 펨토셀 형상 정보 검증, 외주 제작사 보안 관리 등 기본적인 통제조차 이뤄지지 않았다. 일부 단말에서는 종단 암호화조차 적용되지 않아 문자와 통화가 평문으로 전송되는 문제도 확인됐다. 정부는 이에 따라 KT에 대해 펨토셀 접속 제한, 인증서 유효기간 단축, 형상 인증 강화, 종단 암호화 의무화 등 긴급 조치를 시행하도록 했다.
KT는 악성코드 감염 사실을 인지하고도 신고하지 않거나 지연 신고했으며, 일부 서버 폐기 시점을 허위로 제출하고 백업 로그를 은폐한 사실도 드러났다. 이에 과기정통부는 정보통신망법 위반에 따른 과태료 부과와 함께, 위계에 의한 공무집행방해 혐의로 수사기관에 수사의뢰를 진행했다고 밝혔다.
과기정통부는 이번 침해사고가 KT 이용약관상 ‘회사의 귀책 사유’에 해당하는지 여부에 대해 5개 법률 자문기관에 검토를 의뢰했다. 그 결과, 4개 기관이 KT의 중대한 과실과 계약상 주된 의무 위반을 인정했다. 정부는 ▲펨토셀 부실 관리라는 명백한 과실, ▲안전한 통신서비스 제공 의무 위반, ▲전체 이용자가 통신 도청·탈취 위험에 노출됐다는 점을 종합해 KT 전체 이용자가 계약 해지 시 위약금을 면제받아야 한다고 결론지었다.
LGU+ 사건과 관련해서는 통합 패스워드 관리 서버(APPM)와 연계된 서버 목록, 계정 정보, 임직원 성명이 실제 유출된 사실이 확인됐다. 다만, 핵심 서버가 OS 재설치 또는 폐기돼 정확한 침투 경로는 규명되지 않았다. 조사단은 LGU+가 침해사고 인지 이후 주요 서버를 재설치·폐기한 점을 문제 삼아 위계에 의한 공무집행방해 혐의로 경찰에 수사 의뢰했다.
배경훈 부총리는 “KT·LGU+ 침해사고는 SK텔레콤 사고에 이어 국가 기간통신망의 보안 취약성이 반복적으로 드러난 중대한 사안”이라며, “정보보호는 선택이 아니라 기업 생존의 필수 조건”이라고 강조했다. 이어 “AI 3대 강국 도약을 위해서는 정보보호가 핵심 기반”이라며, “정부도 제재 강화와 제도 개선을 통해 국민이 안심하고 디지털·AI 서비스를 이용할 수 있는 환경을 구축하겠다”고 밝혔다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
