“안전한 통신 서비스 제공 의무 미비” 류제명 과학기술정보통신부 2차관이 29일 정부서울청사에서 KT·LGU+ 침해사고 조사 결과를 발표하고 있다. 권도현 기자
민관합동조사단 최종 조사 결과
불법 펨토셀, 통화 도청도 가능
서버 94대, 103종 악성코드 감염
‘조사 방해’ LG유플은 수사 의뢰
정부가 KT의 무단 소액결제·해킹 사태와 관련해 전 고객을 대상으로 한 위약금 면제가 필요하다고 판단했다. 해킹당한 서버를 폐기해 고객 개인정보 유출 여부를 확인할 수 없게 만든 LG유플러스에 대해서는 경찰에 수사 의뢰했다.
과학기술정보통신부 민관합동조사단은 KT·LG유플러스 사이버 침해사고에 대한 최종 조사 결과를 29일 발표했다.
조사 결과, KT에서는 지난해 8월1일부터 올해 9월10일까지 총 2억4000만원 규모의 무단 소액결제가 발생했으며, 2만2000여명의 전화번호와 가입자식별번호(IMSI), 단말기식별번호(IMEI)가 유출된 것으로 확인됐다. 현재 남아 있는 통신결제 정보를 토대로 산출한 것으로, 조사단은 지난해 7월 이전 기간에 대해서는 피해 여부를 확인하지 못했다고 설명했다.
KT의 ‘초소형 기지국(펨토셀)’ 관리 부실이 이 같은 사태를 촉발한 것으로 드러났다. KT는 모든 펨토셀에 동일한 인증서를 사용하고 있었고 이 인증서를 복사할 경우 ‘불법 펨토셀’도 KT 망에 접속할 수 있었다. 펨토셀은 통신 음영지역을 보완하기 위한 기기를 말한다.
불법 펨토셀이 작동하는 과정에서 ‘음성통화’ 탈취(도청)도 가능했다는 사실이 새롭게 확인됐다. 조사단에 따르면 KT는 단말기와 통신망을 오가는 문자, 음성통화에 암호화를 적용하고 있었으나, 불법 펨토셀은 이 암호를 해제할 수 있었다. 인증 자동응답(ARS), 문자(SMS)를 가로채 소액결제에 성공한 배경이다.
조사단은 인증용이 아닌 일반 문자·음성통화도 탈취가 가능했다고 판단했다. 다만 실제 탈취 흔적은 발견되지 않았다고 덧붙였다. 이와 별도로 KT는 ‘아이폰16’ 이하 단말기에 SMS 암호화를 적용하지 않고 있었다는 사실도 드러났다.
KT 해킹 사태의 또 다른 갈래인 ‘서버 해킹’의 경우 94대의 KT 서버가 103종의 악성코드에 감염돼 있었던 것으로 조사됐다. 이 중 ‘웹셸’과 ‘BPF도어’ 악성코드 공격은 2022년 4월 이뤄졌는데, KT는 지난해 해당 코드 감염 사실을 확인하고도 ‘백신 처리’ 후 은폐했다가 이번 조사에서 발각됐다. ‘루트킷’ 악성코드 등의 공격은 2023년부터 올해 7월까지 이어졌다.
‘서버 해킹’은 파악했으나 KT가 보관 중인 로그 기록이 1~2개월밖에 없었던 탓에 ‘정보 유출’은 확인할 수 없었다. 류제명 과기정통부 2차관은 “로그 기록이 존재하지 않는 기간에도 유출이 안 됐다고 단정할 수는 없다”고 설명했다.
정부는 KT의 총체적 보안 부실이 전 고객 대상 위약금 면제 사유에 해당한다고 판단했다. 조사단은 “이번 침해사고에서 KT 과실이 발견됐고, 계약상 주요 의무인 안전한 통신서비스 제공 의무도 다하지 못했다”면서 “전체 이용자 대상으로 위약금을 면제해야 하는 회사의 귀책사유에 해당한다”고 밝혔다.
조사단은 LG유플러스의 경우 임직원 성명 및 일부 서버 목록 등의 유출까지는 확인했으나, 회사 측이 해당 서버를 폐기하거나 운영체제(OS)를 재설치해 더 이상의 조사는 할 수 없었다. 과기정통부는 LG유플러스가 조사를 방해했다고 보고 ‘위계에 의한 공무집행 방해’로 경찰청에 수사 의뢰했다.
KT 관계자는 “민관합동조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정”이라고 밝혔다. LG유플러스 측은 “경찰 수사에 성실히 임하겠다”고 밝혔다.
