결국 드러난 통신강국 민낯…KT엔 위약금 면제, LG유플은 수사 의뢰

SK텔레콤·KT·LG유플러스 다 뚫렸다

[뉴스1]

KT가 보안 관리 소홀로 해킹 사태를 초래한 사실이 드러났다. 정부는 KT가 불법 펨토셀 접속을 허용하고 개인정보보호 활동을 등한시한 만큼 모든 가입자를 대상으로 위약금을 면제해야 한다는 결론을 내렸다. KT는 조만간 위약금 면제 여부 및 보상안을 내놓을 예정이다.

29일 과학기술정보통신부는 KT 침해사고 민관합동조사단의 최종 조사 결과를 발표했다. 전체 서버 점검 및 감염 서버 포렌식 결과 3만3000대 서버 가운데 94대 서버가 BPF도어와 루트킷 등 악성코드 103종에 감염돼 있던 것으로 확인됐다.

소액결제 피해자는 368명(777건)으로 피해액은 2억4300만원 규모다. 펨토셀과 신호를 주고받아 가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호를 탈취당한 피해자는 2만2227명이다. 이는 기존 발표와 차이가 없다.

악성코드는 지난 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 과정에서 서버에 침투한 것으로 분석됐다. BPF도어는 보안 장비를 우회해 뒷문을 만드는 교묘한 악성코드고, 루트킷은 시스템 운영체제(OS)를 조작해 악성코드 파일을 은닉하는 악성코드다. 침투 수법이 교묘해 인지가 어렵다.

[과학기술정보통신부]

또 불법 펨토셀에 KT망 접속에 필요한 인증서 및 인증 서버 인터넷주소(IP) 정보가 포함돼 있음을 파악했다. KT에 납품되는 펨토셀 제조사 인증서가 동일해 복사만 하면 정상 펨토셀이 아니더라도 KT망에 접근 가능했다. 인증서 유효기간도 10년으로 길었다. 단말기에서 코어망을 연결하는 통신 과정에서는 불법 팸토셀에 의해 암호화가 풀리면서 전화인증(ARS)이나 문자인증(SMS) 등 결제에 수반되는 인증 정보를 가로챌 수 있었던 것으로 드러났다.

과기정통부는 KT가 펨토셀 관리를 부실하게 하고 암호화 설정 문제를 겪었다는 점을 근거로 계약상 안전한 서비스를 제공할 의무를 다하지 못했다며 약관상 위약금 면제가 가능하다고 결론 지었다. 아울러 인증 서버 IP의 주기적 변경 및 방화벽 확대, 최고정보보호책임자(CISO) 권한 강화 등 개선책을 요구했다. 과기정통부는 정보통신망법에 의거해 KT에게 과태료를 부과할 방침이다.

KT 관계자는 “조사단 발표를 엄중하게 받아들인다”라며 “위약금 면제 및 고객 보상 여부와 정보보호 혁신 방안이 확정되는 대로 조속히 안내하겠다”라고 고개 숙였다.

LG유플러스의 인공지능(AI) 통화비서 ‘익시오’ 시작 화면. [연합뉴스]

LG유플러스도 해킹 문제에서 자유로울 수 없었다. 앞서 한국인터넷진흥원(KISA)에는 LG유플러스에서 정보가 유출됐다는 익명의 제보가 접수됐다. 조사단은 제보자가 공개한 LG유플러스 통합 서버 접근제어 솔루션(APPM) 관련 서버 목록·계정 정보·임직원 성명 등이 유출됐음을 확인했다.

다만 유출 경로로 의심되는 APPM 서버 및 협력사 관련 주요 서버들이 훼손돼 구체적인 시스템 침투 경로나 추가 피해 확인이 어려웠다. 과기정통부는 LG유플러스가 허위로 자료를 제출한 데 이어 증거가 될 수 있는 서버를 폐기하고 OS를 재설치하는 등 부적절한 행위로 조사 진행에 지장을 줬다며 공무집행방해 혐의로 수사기관에 넘겼다.

과기정통부 관계자는 “SK텔레콤, KT에 이어 LG유플러스까지 포함해 침해사고 미신고·은폐에 대한 고강도 제재를 내리기 위해 정보통신망법 개정을 추진하겠다”라며 “기간통신망 보안 수준 제고를 위한 제도 개선과 AI 시대 대비 정보보호 역량 고도화를 병행하겠다”고 강조했다.

[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]