[뉴스토마토 이지은 기자]
KT(030200) 통신망에 접속한 불법 소형기지국(펨토셀)이 내부 인증서를 이용해 정상 장비처럼 작동했고, 이 과정에서 일부 가입자의 결제 인증 정보가 탈취된 사실이 정부 최종 조사 결과에서 확인됐습니다. 다만 핵심 통신 로그가 장기간 보관되지 않아 문자·음성 통화 등 추가적인 개인정보가 실제로 어느 범위까지 유출됐는지는 끝내 특정되지 않았습니다. 정부는 사고 실체를 규명하지 못한 원인 자체가 KT의 보안 관리 부실에 있다고 판단했습니다. 사실상 인재에 가까운 해킹 사고가 발생했고, 사고 이후의 관리 체계에서도 한계가 드러난 셈입니다.
과학기술정보통신부와 민관합동조사단은 29일 KT 침해 사고 최종 조사 결과를 발표하고, 불법 펨토셀이 KT 내부망에 접속할 수 있었던 구조적 허점을 사고의 핵심 원인으로 지목했습니다. 조사단에 따르면 KT는 모든 펨토셀에 동일한 인증서를 적용하고 인증서 유효기간을 장기간 설정했으며, 비정상 IP 접속이나 설치 위치·장비 형상 정보에 대한 검증 절차를 제대로 운영하지 않았습니다. 이로 인해 불법 장비가 KT 망에 접속해 정상 기지국보다 강한 신호를 송출했고, 일부 이용자 단말이 해당 기지국에 연결되면서 가입자 식별 정보와 결제 인증 정보가 외부로 노출됐습니다.
류제명 과기정통부 제2차관이 29일 KT, LG유플러스 침해 사고에 대한 민관합동조사단 조사 결과를 발표하고 있다. (사진=뉴스토마토)
조사단은 불법 펨토셀이 통신 암호화를 해제할 수 있는 구조 역시 확인했습니다. 단말과 코어망 간 종단 암호화가 무력화될 경우 ARS·SMS 인증 정보가 평문으로 전송될 수 있는 상태였으며, 실제로 이 같은 방식으로 368명의 이용자가 무단 소액결제 피해를 입은 사실이 확인됐습니다. 다만 문자·음성 통화 내용 등 추가적인 정보 유출 여부에 대해서는 시스템 로그 보관 기간이 짧고 보안 장비가 충분히 갖춰지지 않아 확인이 불가능했다고 조사단은 설명했습니다.
정부는 이번 사고에서 KT의 과실이 명확하다고 판단했습니다. 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못했고, 과거 악성코드 감염 사실을 인지하고도 신고하지 않거나 조사 과정에서 서버 폐기 시점과 관련한 허위 자료를 제출한 정황도 확인됐다는 것입니다. 이에 따라 과기정통부는 이번 침해 사고가 KT 이용약관상 '회사의 귀책 사유'에 해당한다며, 이용자가 계약을 해지할 경우 위약금 면제가 가능하다는 판단을 내렸습니다.
다만 위약금 면제의 구체적인 적용 시점과 기간에 대해서는 KT가 결정해야 할 사안이라는 입장을 밝혔습니다. 류제명 과기정통부 제2차관은 "정부는 이번 사고가 약관상 위약금 면제 사유에 해당하는지 여부를 판단한 것"이라며 "소급 적용 시점과 면제 기간, 이용자가 위약금 없이 타 통신사로 이동할 수 있는 기간 등은 KT가 소비자 눈높이에 맞춰 정할 것으로 기대한다"고 설명했습니다.
SK텔레콤(017670) 해킹 사고와의 연관성에 대해서는 공격 방식의 유사성은 인정하면서도 동일 공격자인지 여부에 대해서는 신중한 입장을 보였습니다. 조사단은 BPF도어 악성코드의 기능과 공격 패턴에서 유사성이 확인됐다고 밝혔지만, "현재 확보된 정보만으로 동일한 공격자라고 단정하기에는 한계가 있다"는 입장입니다. 개인정보가 미상의 경로로 확보됐다는 의혹과 관련해서도 "조사는 로그가 남아 있는 범위에 한해 가능하다"며 "추가적인 개인정보 유출 경로 규명은 개인정보보호위원회 조사를 통해 확인될 사안"이라고 덧붙였습니다.
KT는 정부 발표 직후 입장문을 내고 "민관합동조사단의 조사 결과를 엄중하게 받아들인다"며 "이번 사고로 불편과 피해를 겪은 고객 여러분께 깊이 사과드린다"고 밝혔습니다. 이어 "고객 보상과 정보보안 체계 전반을 재정비하는 혁신 방안을 마련 중이며, 관련 대책이 확정되는 대로 조속히 발표하겠다"고 말했습니다.
한편
LG유플러스(032640) 침해 사고와 관련해서는 사고 실체를 끝내 확인하지 못했다는 결론이 나왔습니다. 조사단은 익명 제보를 통해 '통합 서버 접근제어 솔루션(APPM)' 관련 자료 유출 정황이 제기된 점을 확인했지만, LG유플러스가 문제의 서버를 운영체제 재설치 또는 폐기하면서 침해 흔적을 확인할 수 없었다고 했습니다. 특히 KISA가 침해 사고 가능성을 안내한 이후 관련 서버가 정리된 점을 문제 삼아, 조사단은 이를 부적절한 조치이자 정부 조사 방해에 해당한다고 판단하고 경찰에 수사를 의뢰했습니다.
이지은 기자 jieunee@etomato.com
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.
ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지