사라진 로그·확인 못한 경로…KT 사고 ‘반쪽 규명’
“아이폰 통신 평문 전송”…KT 보안 관리 허점 드러나
정부 “KT 전체 가입자 위약금 면제 사유 해당” 판단
LG유플러스 ‘증거 인멸’ 의혹…수사로 넘어가
“아이폰 통신 평문 전송”…KT 보안 관리 허점 드러나
정부 “KT 전체 가입자 위약금 면제 사유 해당” 판단
LG유플러스 ‘증거 인멸’ 의혹…수사로 넘어가
[이데일리 권하영 기자] 정부가 불법 소형 기지국 장비(펨토셀)를 악용한 보안 사고 책임을 물어 KT 전체 가입자에 대한 위약금 면제 사유를 인정했다.
다만 조사 과정에서 무단 결제에 사용된 정보 유출 경로가 여전히 확인되지 않았고, 통신 데이터와 로그 기록이 부족해 추가 피해 여부조차 명확히 규명하지 못하면서 ‘반쪽짜리 규명’이라는 한계가 남았다.
“불법 펨토셀 악용”…유출 확인됐지만 경로는 여전히 미궁
과학기술정보통신부와 경기남부경찰청은 29일 정부서울청사에서 KT·LG유플러스 침해 사고에 대한 민관합동조사단 조사 결과를 발표했다.
다만 조사 과정에서 무단 결제에 사용된 정보 유출 경로가 여전히 확인되지 않았고, 통신 데이터와 로그 기록이 부족해 추가 피해 여부조차 명확히 규명하지 못하면서 ‘반쪽짜리 규명’이라는 한계가 남았다.
 |
류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 KTㆍLGU+ 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 사진=연합뉴스 |
“불법 펨토셀 악용”…유출 확인됐지만 경로는 여전히 미궁
과학기술정보통신부와 경기남부경찰청은 29일 정부서울청사에서 KT·LG유플러스 침해 사고에 대한 민관합동조사단 조사 결과를 발표했다.
올해 8월 불법 펨토셀을 악용한 KT 무단 소액결제 사고는 조사 결과, 군부대 등에서 유실된 불법 장비가 KT 내부망에 접속해 2만2227명의 △가입자식별번호(IMSI) △단말기식별번호(IMEI) △전화번호를 가로채는 수법으로 368명이 총 2억4300만 원 규모의 무단 소액결제 피해를 입은 것으로 확인됐다.
그러나 조사단은 통신 결제 관련 데이터가 남아있지 않은 2024년 7월 31일 이전 기간의 피해 여부는 확인조차 할 수 없었다고 설명했다. 또 공격자가 펨토셀로 탈취한 IMSI·IMEI·전화번호 외에 실제 결제에 필요한 성명·생년월일·휴대전화번호 등의 정보를 어디서 확보했는지도 규명하지 못했다.
“로그 1~2개월뿐”…악성코드 사고도 신고 없이 넘어가
KT는 지난해와 올해에 걸쳐 서버 악성코드 감염 사고도 겪었지만 이를 정부에 신고하지 않았다. 당시 BPF도어 등 악성코드 103종이 94대 서버를 감염시켰으나, 시스템 로그 보관 기간이 1~2개월에 불과해 로그가 남지 않은 기간의 정보 유출 여부는 끝내 확인되지 않았다.
결국 “잠재 피해 가능성이 여전히 존재한다”는 불안은 남게 됐다.
류제명 과기정통부 제2차관은 “개인정보 유출 경로나 어떤 방식이 적용됐는지 조사에 한계가 있었다”며 다만 개인정보 유출에 대해선 개인정보보호위원회가 심층 조사 중이라고 부연했다.
그는 “올해 4월 SKT 고객정보 유출 사고의 경우 유심정보라는 명확한 특징 때문에 유심 교체와 FDS(비정상 인증 차단 시스템) 고도화 등 구체적인 조치가 가능했지만, KT는 펨토셀 악용이라는 이례적인 유형이어서 조사가 길어졌다”며 “현재 여러 보안 조치를 통해 불법 펨토셀에 의한 망 침투 가능성은 없다고 판단한다”고 밝혔다.
“아이폰 통신 평문 송수신”…KT 보안 관리 총체적 허점
이번 조사에서는 KT가 아이폰 단말기에 대해 통신 구간(종단) 암호화 설정을 지원하지 않아 문자메시지(SMS), 통화 내용 등이 암호화되지 않은 평문으로 송수신돼 왔던 사실도 드러났다. 이 때문에 불법 펨토셀에 연결된 이용자의 통화·문자 내용이 그대로 탈취될 수 있는 위험에 노출돼 있었다.
이동근 한국인터넷진흥원(KISA) 본부장은 “KT가 통화 품질과 로밍 장애 우려를 이유로 암호화를 적용하지 않았다고 설명했지만 기본적인 보안 인식이 부족했다”며 “현재는 암호화를 지원하도록 조치했지만 강제 적용 여부는 추가 논의가 필요하다”고 말했다.
“KT 전체 고객 위험 노출”…정부, 위약금 면제 사유 판단
정부는 이번 사안을 특정 피해자만의 문제가 아닌, KT 전체 가입자를 위험에 빠뜨린 ‘계약상 주된 의무 위반’으로 판단했다. 이에 따라 이번 사고를 이용약관상 ‘기타 회사 귀책 사유’로 규정하고, 전체 가입자를 대상으로 위약금 면제를 적용해야 할 사안이라고 결론냈다. 다만 실제 면제 기간·소급 적용 여부 등 세부 조치는 “KT가 국민 눈높이에 맞춰 결정해야 할 문제”라고 밝혔다.
KT가 지난해 3월 악성코드를 발견하고도 신고하지 않은 점에 대해서는 정보통신망법상 ‘24시간 내 침해사고 신고 의무’ 위반으로 과태료를 부과할 예정이다. 서버 폐기 시점 허위 제출 정황에 대해서도 위계에 의한 공무집행방해 혐의로 수사가 진행 중이다.
과기정통부는 KT에 내년 1월까지 재발 방지 대책 이행 계획 제출을 요구하고, 4월까지 실제 이행 여부를 점검해 6월 최종 확인할 계획이다.
LGU+는 ‘증거 인멸 의혹’…조사 중단, 수사로 직행
LG유플러스는 사고 정황을 인지하고도 관련 증거를 인멸했다는 의혹을 받으며, 민관합동조사단 조사가 수사기관 조사 단계로 넘어갔다.
조사단에 따르면 익명 제보자가 공개한 통합 서버 접근제어(APPM) 서버 목록·계정 정보·임직원 성명 등은 실제 LG유플러스 내부 자료와 일치했다. 그러나 자료 유출이 추정되는 서버와 협력사 노트북 등 핵심 장비들이 8월 12일~9월 15일 사이 일괄 OS 재설치 또는 폐기 처리되면서 증거 확인이 불가능해졌다.
정부는 해당 조치가 한국인터넷진흥원(KISA)로부터 사고 정황 안내를 받은 이후 집중적으로 이뤄졌다고 보고, 지난 12월 9일 LG유플러스를 ‘위계에 의한 공무집행 방해’ 혐의로 경찰에 수사 의뢰했다.
최우혁 과기정통부 네트워크정책실장은 “LG유플러스는 조사단에서 더 이상 확인할 수 있는 내용이 없어 수사 의뢰로 조사를 종료했다”며 “현재로선 시정명령이나 과태료 여부도 없다고 봐야 한다”고 말했다.
이 기사의 카테고리는 언론사의 분류를 따릅니다.