서버 해킹, 펨토셀 관리 등 보안체계 미흡약관상 위약금 면제 귀책사유 해당 판단KT “보상과 보안 방안 조속히 마련”
  • ▲ ⓒ뉴데일리 김성현 기자
    ▲ ⓒ뉴데일리 김성현 기자
    KT 해킹 조사 결과, 서버와 펨토셀 관리 부실 등 보안 체계 전반 구조적 문제가 확인됐다. 정부는 전 이용자에 대한 위약금 면제가 필요하다는 입장으로, KT는 조사결과를 토대로 보상 방안을 내놓는다는 방침이다.

    과학기술정보통신부는 29일 민관합동조사단(이하 조사단) 조사를 토대로 KT와 LG유플러스 침해사고에 대한 최종 조사 결과를 발표했다.

    조사단은 침해사고 조사 과정에서 KT가 보안점검과 장비점검 미비 등 전반적인 정보보호 활동이 미흡하다고 지적했다. 불법 펨토셀이 내부망에 접속했을 뿐만 아니라 전반적인 거버넌스 체계 자체가 제대로 작동하지 않았다는 것.

    KT는 자체 규정에 따라 보안점검을 실시해야 하지만 점검 미흡으로 악성코드와 웹셸을 발견하지 못했다. 펨토셀 인증과 제품등록 관리 시스템도 보안장비 없이 운용해 외부 공격에 취약한 상태였다는 점에서다. 조사단은 펨토셀에 대한 자산 현황 관리가 제대로 이뤄지지 않았으며, 시스템 내 등록 자산과 실물 정보가 불일치함을 확인했다.

    부실한 펨토셀 관리와 인증서 관리가 소액결제 범행으로 이어졌다는 설명이다. 경찰 조사에 따르면 범행에 사용된 불법 펨토셀을 분석한 결과 인증서는 2019년 7월 경기 북부에 있는 군부대에 설치됐던 것으로 확인됐다. 해당 펨토셀은 2020년 1월 경 막사 이전 시 유실됐으며, 경찰은 피의자가 유실된 펨토셀을 입수해 저장된 인증서를 복사하고 범행에 사용한 것으로 추정했다.

    과기정통부는 KT가 전체 이용자를 대상으로 이용 약관상 위약금을 면제해야 하는 귀책사유에 해당한다는 판단을 내렸다. 조사단 조사 결과에 따라 KT가 침해사고에 대비해 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 봤다.

    과기정통부는 “펨토셀 부실 관리로 야기된 암호화 되지 않은(평문) 문자와 음성통화 탈취 위험성은 소액결제 피해 이용자에만 국한되지 않고 전체 이용자가 위험성에 노출됐던 것으로 판단했다”며 “침해사고에서 KT의 과실이 발견된 점과 계약상 주된 의무를 다하지 못한 점을 고려했다”고 설명했다

    조사단은 KT에 펨토셀을 포함한 보안 관련 재발방지 대책을 제시했다. 보안 솔루션 도입을 확대하고 제로 트러스트 보안 체계를 도입하는 한편, 분기별 1회 이상 취약점 정기 점검을 포함한 보안 관리 강화를 주문했다. 또한 펨토셀 인증 관리 시스템에 보안 장비를 도입하고, 로그 기록을 1년 이상 보관하는 중앙 관리 시스템을 구축해야한다고 촉구했다.

    과기정통부는 KT의 과거 침해사고 미신고 관련 조치도 덧붙였다. 앞서 KT는 2024년 3월 자체 수행한 보안 점검 과정에서 웹셸과 BPF 도어 등 악성코드를 발견했지만, 침해 신고를 하지 않고 자체 조치했다는 점에서다. 정부는 정보통신망법에 따라 해당 문제에 대해 3000만원 이하 과태료를 부과한다는 계획이다.

    또한 침해정황 서버 폐기 관련해 KT가 조사를 방해하기 위한 고의성이 있다고 판단했다. 공무집행 방해에 따라 수사기관에 해당 건은 의뢰한 상태다.

    다만 조사단 조사 결과는 KT 시스템 로그(기록) 보관 기간이 1~2개월에 불과하다는 점에서 한계를 드러냈다. 주요 시스템에 방화벽 없이 운영함에 따라 로그 분석을 통한 유출 여부를 확인할 수 없다는 점에서다. 악성코드 감염에 따른 유출 여부도 로그가 남아있지 않은 기간에 대해서는 단정할 수 없다는 것이다.

    과기정통부는 조사단 조사결과를 토대로 2026년 1월까지 KT 재발방지 대책과 이행 계획을 제출토록 할 예정이다. 이후 이행 상황을 점검하고 보완이 필요한 사항에 대해 정보통신망법에 따라 시정조치를 명령한다는 복안이다.

    이 외에도 과기정통부는 LG유플러스 자료 유출 관련 서버 정밀 포렌식 결과도 공유했다. 조사단에 따르면 LG유플러스 자료가 유출됐을 것으로 추정되는 서버는 운영체제(OS) 업그레이드 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황이었다.

    조사단은 LG유플러스의 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황을 안내한 이후 이뤄진 점을 고려해 부적절한 조치로 판단했다. 현재 해당 건은 공무집행 방해로 경찰청에 수사를 의뢰한 상태다.

    KT는 “민관합동조사 결과 발표를 엄중하게 받아들인다”며 “고객 보상과 정보보안 혁신 방안 확정되는 대로 조속히 발표하겠다”고 전했다. LG유플러스도 향후 경찰 조사에 성실히 임하겠다는 입장이다.

    한편, KT 해킹 건도 SK텔레콤과 같이 영업정지 조치가 이뤄져야 하지 않느냐는 질문에 류제명 과기정통부 제2차관은 “영업정지 행정지도는 신규가입자 모집에 유심 활용을 문제삼은 것으로 징벌적 조치가 아니었다”며 “사업자 간 처분의 경중 때문에 다른 접근 방법을 취한 것은 아니다”라고 설명했다.