KT의 무단 소액결제 해킹 사태를 조사한 민관합동조사단이 사고의 과실이 KT에 있다고 결론 내렸습니다. 정부는 KT가 전체 이용자를 대상으로 위약금을 면제해야 할 책임이 있다고 판단했습니다. 펨토셀 관리 실패가 국가 기간통신망의 구조적 취약점으로 이어졌다는 해석입니다.

29일 과학기술정보통신부는 KT의 침해사고 조사 결과를 발표했습니다. 이번 사고로 가입자식별정보(IMSI), 단말기식별번호(IMEI), 전화번호 등 핵심 식별 정보가 2만 2227명 규모로 유출된 것으로 확인됐습니다. 무단 소액결제 피해는 368명, 2억 4319만원 수준입니다. 

조사단은 해당 사고가 불법 펨토셀을 매개로 발생했으며, KT가 이 기기 관리 과정에서 주의의무를 다하지 못했다고 판단했습니다.

뉴스1

조사 결과 KT는 펨토셀 관리뿐만 아니라 서버 보안에서도 다수의 허점을 드러낸 것으로 확인됐습니다. 조사단은 KT 전체 서버를 점검한 결과 총 94대 서버에 103종의 악성코드 감염 흔적을 확인했습니다. 

이 가운데 41대 서버는 지난해 3월부터 7월 사이에 KT가 자체 발견했지만 정부 신고 없이 내부 조치에 그친 사례였습니다. 외부 보안점검 과정에서는 루트킷, 백도어, 디도스 공격형 악성코드 등 77종의 추가 악성코드가 드러났습니다. 조사단은 특히 루트킷의 존재가 공격자의 침투 경로 은폐에 활용됐을 가능성을 제기했습니다.

경찰 수사 과정에서 확보된 불법 펨토셀 분석 결과에서는 KT 인증서와 내부 서버 접속 정보가 저장돼 있었던 것으로 나타났습니다. 공격자는 이를 통해 KT 내부망에 접속했고, 강한 전파를 송출해 단말기를 불법 펨토셀에 유도 연결시킨 뒤 전화번호, IMSI, IMEI 등 정보를 탈취했습니다. 

이후 미상 경로로 확보한 개인정보와 결합해 피해자를 특정했고, 인증 문자와 ARS 정보를 가로채 상품권 구매 사이트에서 무단 소액결제가 이뤄졌다는 것이 조사단의 최종 판단입니다.

조사단은 KT가 펨토셀 인증서 관리, 외주사 보안 통제, 비정상 IP 접속 관리, 제품 형상 검증 등 기본적인 보안조치에서 구조적 미비를 보였다고 밝혔습니다. 이 과정에서 정보통신망법 위반도 확인했습니다. 정부는 KT가 계약상 의무인 안전한 통신서비스 제공을 충실히 이행하지 못했다는 점을 명확히 했습니다.

뉴스1

정부는 KT의 '귀책사유'가 명확하다는 점에서 이번 사고는 전체 이용자를 대상으로 위약금 면제 사유에 해당한다고 밝혔습니다. 실제 KT 이용약관에는 "회사의 책임으로 인해 계약상 주요 의무가 이행되지 않았을 경우 위약금을 면제한다"는 조항이 있습니다.

배경훈 부총리는 "이번 KT의 사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했습니다.

KT는 추가 입장을 검토 중입니다.