과기정통부, KT 해킹 조사결과 발표 … “계약상 주된 의무 다하지 못해 전체 위약금 면제 가능”

KT 해킹 사태는 펨토셀 관리 미흡이 원인이 돼 무단 소액결제까지 이어진 것으로 나타났다. 조사단은 KT가 계약상 주된 의무를 다하지 못한 점을 고려해 위약금 면제 규정 적용이 가능하다는 판단을 내놨다.

과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단(이하 조사단) 조사 결과와 KT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 발표했다.

지난 9월 8일 KT는 소액결제 피해자 통화기록을 분석한 결과 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 과기정통부는 금전 피해 발생 등 사고의 중대성과 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 다음날 조사단을 구성하고 피해 현황과 사고 원인을 조사해 왔다.

침해사고가 발생한 경위와 사고 원인을 파악하기 위해 피의자로부터 확보한 압수물을 정밀 분석한 결과 조사단은 무단 소액결제가 이뤄진 방식을 파악했다. 불법 펨토셀에서 획득한 정보와 개인정보를 결합해 SMS 등 인증정보를 탈취하고 소액결제까지 이어갔다는 것.

조사단에 따르면 공격자는 불법 펨토셀에 KT 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 이후 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호와 IMSI, IMEI 등 정보를 탈취했다.

공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정했다. 피해자 개인정보로 상품권 구매 사이트를 접속해 상품권 구매를 시도하고, 소액결제 시 피해자에게 전달되는 SMS 등 인증정보를 불법 펨토셀을 통해 취득했다는 설명이다.

또한 과기정통부는 KT가 전체 이용자를 대상으로 이용 약관상 위약금을 면제해야 하는 귀책사유에 해당한다는 판단을 내렸다. 조사단 조사 결과에 따라 KT가 침해사고에 대비해 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 판단했다.

과기정통부는 “펨토셀 부실 관리로 야기된 평문 문자와 음성통화 탈취 위험성은 소액결제 피해 이용자에만 국한되지 않고 전체 이용자가 위험성에 노출됐던 것으로 판단했다”며 “침해사고에서 KT의 과실이 발견된 점과 계약상 주된 의무를 다하지 못한 점을 고려했다”고 설명했다.

조사단은 KT 펨토셀 관리 체계와 내부망 접속 인증 관련 문제점을 지적했다. 납품되는 펨토셀 제품이 동일한 제조사 인증서를 사용해 해당 인증서만 복사하면 KT망에 접속 가능하다는 점을 확인했다. 또한 내부망에서 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았다는 것.

또한 통신 과정에서 단말과 펨토셀 간, 펨토셀과 인터넷망의 구간 암호화와 종단 암호화가 제대로 작동하지 않은 점에 대해서도 문제를 제기했다. 불법 펨토셀에 종단 암호화가 해제 돼 인증정보가 전송됐다는 점에서다.

과기정통부는 조사단 조사결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내달 안으로 제출토록 한다는 방침이다. 이후 내년 상반기까지 이행여부를 점검한다. 이 외에도 고의적인 침해사고 미신고에 따른 피해확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화를 추진한다.

한편, 과기정통부는 LG유플러스 자료 유출 관련 서버 정밀 포렌식 결과도 공유했다. 조사단에 따르면 LG유플러스 자료가 유출됐을 것으로 추정되는 서버는 운영체제(OS) 업그레이드 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황이었다.

조사단은 LG유플러스의 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황을 안내한 이후 이뤄진 점을 고려해 부적절한 조치로 판단했다. 현재 해당 건은 공무집행 방해로 경찰청에 수사의뢰한 상태다.

배경훈 과기정통부 장관은 “이번 KT, LGU+ 침해사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했다.