[현장영상+] 정부 "KT, 펨토셀 관리 전반 부실...언제 어디서든 접속"

[앵커]
'무단 소액결제'가 일어난 KT 해킹사고에 대해 정부가 민관합동조사와 수사 결과를 발표합니다.

이 밖에 LG유플러스 해킹 사고에 대한 조사 결과도 함께 내놓을 예정인데요,

현장으로 가보겠습니다.

[류제명 / 과학기술정보통신부 2차관]
안녕하십니까? 과학기술정보통신부 제2차관 류제명입니다. 지금부터 KT 및 LG유플러스 침해 사고에 대한 최종 조사 결과를 말씀드리겠습니다. 정부는 이번 침해 사고가 많은 국민께 불편과 불안을 초래한 만큼 엄정하고 철저한 조사와 투명한 공개를 원칙으로 조사를 진행하였습니다.

먼저 KT 침해 사고 조사 개요입니다. 지난 9월 8일 KT는 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원에 침해사고를 신고하였습니다. 과기정통부는 이번 사고가 국민의 금전적 피해가 발생하였고 공격 방식에 대해 면밀한 분석이 필요한 중대한 침해 사고로 판단하여 9월 9일부터 민관합동조사단을 구성하고 피해 현황과 사고 원인을 조사하였습니다.

조사단은 KT가 보유 관리하고 있는 펨토셀 전단에 대한 보안 실태를 조사하고 불법 펨토셀에 의한 침해 사고가 발생한 경위와 사고 원인을 파악하기 위해 경찰청과 협력하여 피의자로부터 확보한 압수물을 정밀 분석하는 한편 KT 통신망 테스트베드를 활용하여 펨토셀 운영 및 통신 암호와 관련 문제점을 파악하였습니다.

아울러 불법 펨토셀로 인한 개인정보 유출 및 무단 소액결제 등 피해 규모도 검증하였습니다. 또한 KT 전체 서버 약 3만 3000대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 조사하고 감염 서버에 대해서는 포렌식 등 정밀 분석을 통해 정보유출 등 피해 발생 여부를 파악했습니다.

다음으로 KT 침해사고 주요 조사 결과에 대해 말씀드리겠습니다. 먼저 피해 규모와 관련하여 불법 펨토셀에 접속한 KT 이용자 2만 2227명의 가입자 식별번호, 단말기 식별번호, 전화번호가 유출되었고 368명이 무단 소액결제로 인해 약 2억 4300만 원의 금전 피해가 발생했음을 확인하였습니다.

또한 조사단은 KT 전체 서버 점검과 감염 서버 포렌식 과정을 통해 총 94대 서버에서 BPF도어, 루트킷 등 악성코드 103종이 감염되었음을 확인하였습니다. 조사단은 KT의 보안 문제점도 다수 확인하였습니다. KT는 펨토셀의 생산, 납품 및 내부망 접속 인증 전반에 있어 보안 관리가 부실하여 불법 펨토셀의 접속을 허용하였으며 불법 펨토셀에 의해 통신 암호화가 해제되어 평문의 인증분배 등이 공격자에게 노출되는 문제가 있었습니다.

또한 전사 차원의 정보보호 거버넌스 및 자산관리 체계가 미흡하였고 보안 장비 도입, 공급망 보안 관리 등 전반적인 정보 보호 활동에 있어서도 개선이 필요한 사항이 다수 확인되었습니다. 다음으로 KT 이용 약관상 위약금 면제 규정과 관련한 과기정통부 검토 결과를 말씀드리겠습니다. 과기정통부는 조사단의 조사 결과를 바탕으로 5개 로펌에 법률자문을 진행하였습니다.

대부분의 법률자문기관에서는 이번 침해사고를 KT의 과실로 판단했고 펨토셀 관리 부실은 전체 이용자에 대해 안전한 통신 서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시하였습니다.

참고로 법률자문기관 한 곳은 정보유출이 확인되지 않은 이용자에게는 위약금면제규정 적용이 어렵다는 의견을 제시했습니다. 과기정통부는 이번 침해사고가 KT의 이용 약관상 기타 회사의 귀책사유에 해당하는지에 대해 침해사고에서 KT 과실 여부, 전체 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반하였는지 여부를 중점적으로 판단하였습니다.

첫째, 침해사고에서 KT 과실 여부에 대해 말씀드리겠습니다. 조사단의 조사 결과에 따르면 이번 침해 사고와 관련하여 KT의 펨토셀 인증서 관리, 펨토셀 외주 제작사 보안 관리, 비정상 IP 보안 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안 조치 과정에서 명백한 문제점이 있었으며 이 과정에서 KT가 정보통신망법을 위반한 사실이 확인되었습니다. 따라서 KT는 안전한 통신 서비스 제공을 위해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했으므로 KT의 과실이 있는 것으로 판단하였습니다.

둘째, 통신서비스 제공에 있어 주된 의무 위반에 대해 말씀드리겠습니다. 정보통신망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며 국민의 일상생활 전반이 통신서비스를 기반으로 이루어지고 있는 점을 고려할 때 이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호조치를 할 것으로 기대할 수 있습니다. 따라서 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있습니다.

이번 침해 사고에서 KT가 부실하게 관리한 것으로 확인한 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 장치로, 안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소입니다. 조사단의 조사 결과에 따르면 KT는 펨토셀 관리 전뺀전반이 부실하여 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었고 통신 트래픽 캡처가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송수신되는 문자, 음성통화의 정보 탈취가 가능했던 사실이 확인되었습니다.

또한 통신 과정에서 이용자 단말기와 KT 내부망 간 송수신되는 정보는 종단 암호화가 이루어졌어야 하나 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인되었습니다. 이는 통신사 트래픽 캡처가 가능한 불법 펨토셀에서 이용자가 송수신하는 평문의 문자, 음성 통화 정보를 탈취할 수 있는 위험한 상황에 이용자가 노출된 것이며 실제 일부 지역에서 피해도 발생하였습니다.

따라서 과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했고 KT는 침해 사고를 대비하여 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 단했습니다.

결론적으로 과기정통부는 이번 침해 사고에서 KT 과실이 발견된 점, KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용 약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단하였습니다.

※ '당신의 제보가 뉴스가 됩니다'
[카카오톡] YTN 검색해 채널 추가
[전화] 02-398-8585
[메일] social@ytn.co.kr

[저작권자(c) YTN 무단전재, 재배포 및 AI 데이터 활용 금지]

대한민국 24시간 뉴스채널 [YTN LIVE] 보기 〉
[YTN 단독보도] 모아보기 〉