과기정통부, 해킹·무단소액결제 KT에 "전체 가입자 위약금 면제해야"

|스마트투데이=나기천 기자| 정부가 해킹에 따른 무단 소액결재 사고 등이 발생한 KT에 전 이용자 대상 위약금 면제 조치를 할 것을 요구했다. 해킹 방지를 소홀히 해 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 책임이 인정되서다.

앞서 KT는 지난달까지 이번 해킹과 관련된 개인정보 유출 피해자 2만2227명만을 대상으로 한 위약금 면제 조치를 시행한 바 있다.

정부는 또 해킹 발생 뒤 '부적절한' 서버 운영체계(OS) 교체 등을 진행한 LG유플러스(LGU+)를 경찰에 수사 의뢰했다.

과학기술정보통신부는 이날 정부서울청사에서 이같은 내용의 KT, LGU+ 침해 사고 조사 결과를 발표했다.

KT는 지난 9월 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견, 한국인터넷진흥원(KISA)에 침해사고를 신고했다.

과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 민관합동 조사단을 구성해 조사에 들어갔다.

조사 결과, KT 서버 3만3000대 중 94대가 악성코드 103종에 감염됐다.

앞서 해킹 사고가 일어난 SK텔레콤의 경우 악성코드 33종에 감염됐고, 악성코드 1종이 서버 88대에 유입됐었다. KT 해킹이 SK텔레콤과 비교해 악성코드 종류·개수·감염 범위가 더 광범위했던 것이다.

조사단은 조사 과정에서 KT에서 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점과, 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이루어지지 않는 사실을 확인했다고 밝혔다.

예를 들어, KT는 자체 규정에 따라 시스템 로그 및 이벤트를 분석해 보안점검을 실시해야 했지만, 보안점검 미흡으로 인해 악성코드 뿐만 아니라 쉽게 탐지가 가능한 웹셸(원격 조종하는 악성 파일)도 발견하지 못했다고 한다.

또한 KT는 정보통신망법 등에 따라 정보보호최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 하지만 보안 업무를 정보기술 부문, 네트워크 부문, 정보보안실로 구분해 조직별로 수행했다.

KT는 지난해 3월 감염 서버를 발견하고도 정부에 침해사고 신고를 하지 않고 서버 41대에 대해 코드 삭제 등 자체 조치를 하기도 했다.

서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해를 본 이용자는 2만2227명, 무단 소액결제 피해자는 368명, 피해액 2억4300만원으로 중간 조사 결과와 변동이 없었다.

다만 통신 결제 관련 데이터가 남아있지 않은 기간인 지난해 7월 31일 이전의 피해 규모는 확인이 불가능했다고 조사단은 전했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다고 지적했다.

특히 과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다. KT는 약관 '위약금 면제' 조항에 "회사의 귀책 사유인 경우 위약금 납부 의무가 면제된다"는 내용이 있다.

조사단은 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과 4곳에서 이번 침해 사고로 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 판단을 받았다고 밝혔다.

과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고, 6월까지 이행 여부를 점검할 계획이다.

KT는 "조사단 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보호 혁신방안이 확정되는 대로 조속히 발표할 예정"이라는 입장을 내놨다.

이날 민관합동조사단은 LGU+의 해킹 의혹에 대해 익명의 제보자(화이트해커)로부터 정보 유출이 지목된 통합 서버 접근제어 솔루션(APPM)이 해킹당했으며 서버 목록, 서버 계정정보 및 임직원 성명 등 관련 정보가 실제 유출된 것을 확인했다고 밝혔다.

하지만 LGU+가 당국에서 침해 사고 정황을 안내한 이후에 서버 OS를 재설치 또는 폐기하며 구체적인 침해 내용이 드러나지 않았다.

조사단은 LGU+의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 후에 이루어진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다.

배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다.