[서울=뉴스핌] 양태훈 기자 = 과학기술정보통신부(이하 과기정통부)가 29일 KT와 LG유플러스(LGU+) 침해사고에 대한 민관합동조사단의 최종 조사 결과와 KT 이용약관상 위약금 면제 규정 적용 여부에 대한 검토 결과를 발표했다.

민관합동조사단의 조사 결과, KT 침해사고는 불법 펨토셀 악용과 서버 악성코드 감염으로 발생했으며, 펨토셀 보안 관리 부실과 정보보호 체계 미흡 등 KT의 과실이 확인됐다. 이에 따라 정부는 KT 전체 이용자에 대해 위약금 면제 규정 적용이 가능하다고 판단했다.

조사단에 따르면 불법 펨토셀로 인해 가입자 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명이 무단 소액결제로 총 2억4300만원의 피해를 입었다. 또 KT 전체 서버 약 3만3000대를 점검한 결과 94대 서버에서 BPFDoor, 루트킷 등 악성코드 103종이 감염된 사실이 확인됐다.

사고 원인으로는 펨토셀 관리 체계 전반의 부실이 지목됐다. KT는 모든 펨토셀에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정해 불법 펨토셀이 내부망에 접속할 수 있는 환경을 방치한 것으로 나타났다. 비정상 IP 접속 차단, 펨토셀 형상정보 검증 등 기본적인 보안 조치도 이뤄지지 않았다.

또 불법 펨토셀을 통해 통신 종단 암호화가 해제되면서 ARS, SMS 등 결제 인증정보가 평문으로 탈취될 수 있었던 점도 확인됐다. 일부 단말의 경우 암호화 설정 자체가 지원되지 않아 보안 취약성이 더욱 컸던 것으로 조사됐다.

이와 함께 KT는 웹셸과 BPFDoor 등 악성코드를 발견하고도 정보통신망법에 따른 침해사고 신고를 지연하거나 하지 않은 사실도 드러났다. 조사 과정에서는 서버 폐기 시점을 허위로 제출하고 백업 로그를 보고하지 않는 등 정부 조사를 방해한 정황도 확인돼, 위계에 의한 공무집행 방해 혐의로 수사 의뢰됐다.

과기정통부는 조사 결과를 토대로 법률 자문을 실시한 결과, 다수의 자문기관이 이번 침해사고를 KT의 과실로 판단하고 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반한 사례로 봤다고 밝혔다. 이에 따라 KT 이용약관상 위약금 면제 규정 적용이 가능하다는 결론을 내렸다.

한편 LGU+ 침해사고와 관련해서는 익명 제보자가 주장한 일부 자료 유출 사실은 확인됐으나, 관련 서버의 운영체제 재설치와 폐기로 인해 침해 경로와 범위를 확인하는 데 한계가 있었다. 조사단은 해당 조치가 부적절하다고 판단해 LGU+에 대해서도 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다.

과기정통부는 KT에 재발방지 대책 이행계획 제출을 요구하고 이행 여부를 점검할 예정이며, 침해사고 미신고에 대한 제재 강화를 포함한 제도 개선도 추진할 방침이다.

배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다.

이어 "정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침되어야 한다는 점을 인식하고 정보보호 역량을 고도화하는데 최선을 다하겠다"며 "국민들이 혁신적인 AI 서비스를 안심하고 누릴 수 있는 환경을 만들도록 노력하겠다"고 밝혔다.

dconnect@newspim.com