"KT, 보안조치 소홀·피해 방치…모든 이용자 위약금 면제해야"

■정부, 침해사고 조사 결과 발표

인증서 복제에 무방비 누구든 접속

94대 서버서 103종 악성코드 발견

문자·음성통화 유출 위험성 범위 커

류제명(왼쪽) 과학기술정보통신부 제2차관이 29일 정부서울청사에서 이동통신사의 침해 사고 관련 민관합동조사단의 최종 결과를 브리핑하고 있다. 사진=연합뉴스

정부가 KT에 대해 전 이용자를 대상으로 한 위약금 면제 조치를 요구했다. KT가 다수의 서버가 악성코드에 감염된 사실을 인지하고도 해킹 방지를 위한 보안 조치를 소홀히 했고 그 결과 수억 원대의 이용자 피해가 발생하도록 방치했다는 판단이다.

정부 민관합동조사단은 29일 정부서울청사에서 이 같은 내용을 담은 KT 침해 사고 관련 최종 조사 결과를 발표했다. 조사단이 KT 서버 3만 3000대를 대상으로 6차례에 걸쳐 점검한 결과 총 94대의 서버에서 BPF 도어, 루트킷, 분산서비스거부(DDoS·디도스) 등 103종의 악성코드가 발견됐다. 이는 올 4월 사이버 침해 사고를 겪은 SK텔레콤에서 확인된 악성코드 종류(33종)의 약 3배에 달하는 규모다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다는 점도 확인했다. 모든 펨토셀에 동일한 제조사 인증서를 사용한 탓에 인증서를 복제할 경우 정상 펨토셀이 아니더라도 KT 망에 접속할 수 있었다. 타사나 해외 IP 등 비정상 IP를 차단하는 장치도 없었고 접속 정보가 정상인지 검증하는 체계 역시 갖추지 않았다. 이로 인해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있는 환경이 조성됐다.

불법 펨토셀에 대한 포렌식 분석 결과 범죄 조직은 KT 망 접속에 필요한 인증서와 인증 서버 IP 정보를 확보하고 해당 기지국을 거쳐 오가는 트래픽을 가로챈 것으로 드러났다. 이 과정에서 암호화가 해제되며 ARS와 SMS 등 결제 인증 정보가 탈취됐다. 특히 KT는 아이폰 16 이하 기종 등 일부 단말기에 대해서는 암호화 설정조차 지원하지 않았다. 이로 인해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 등 2만 2227명의 개인정보가 유출됐고 368명은 무단 소액 결제 피해를 입었다. 피해액은 총 2억 4300만 원에 달한다.

조사단은 이 같은 조사 결과를 토대로 5개 기관에 법률 자문을 의뢰했으며 이 중 4개 기관은 KT가 안전한 통신 서비스를 제공해야 할 계약상 주요 의무를 위반한 것으로 판단했다. 조사단은 “평문 문자와 음성 통화가 제삼자에게 유출될 위험성은 소액 결제 피해를 입은 일부 이용자에 국한되지 않고 전체 이용자에게 해당한다”며 위약금 면제 적용 범위를 전 이용자로 정했다. 과기정통부는 KT에 대해 내년 1월까지 재발 방지 이행 계획을 제출하도록 요구하고 내년 6월까지 이행 여부를 점검할 계획이다.