민관조사단 '무단 소액결제' 조사 발표
피해 규모 2억4300만 원... "KT 귀책"
"펨토셀 연결 단말기서 도청 가능했다"
KT, 30일 이사회서 위약금 면제 논의
과학기술정보통신부가 불법 초소형 기지국(펨토셀)을 악용한 '무단 소액결제' 사고가 발생한 KT에 가입자 전원의 해지 위약금을 면제할 것을 요구했다. 다만 일각에서 예상됐던 영업정지는 발표되지 않았다.
과기정통부 민관합동조사단은 29일 서울 종로구 정부서울청사에서 KT 침해사고 최종 조사 결과를 발표했다. 통신결제 데이터가 남아 있는 지난해 8월 1일부터 올해 9월 10일까지 KT 기지국 접속기록 4조300억 건, 통신결제 대행 기록 1억5,000만 건, 음성·문자메시지(SMS) 기록 978억 건, 고객 문의 30만 건 이상을 분석한 결과 2만2,227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명이 총 777건 무단 소액결제로 2억4,300만 원 규모의 피해를 입은 것으로 집계됐다.
과기정통부는 사고 원인이 KT의 펨토셀 인프라 관리 부실이라고 못 박았다. △KT에 납품되는 모든 펨토셀이 동일 제조사 인증서를 사용했기에 인증서를 복사하면 정상 펨토셀이 아니어도 KT 인증서를 받아올 수 있었던 점 △KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT 내부망에 접속했던 이력이 있다면 지속적으로 접속이 가능했던 점 △KT가 펨토셀 접속 인증 과정에서 비정상 IP를 차단하지 않은 점 △펨토셀 고유번호나 설치 지역 정보도 검증하지 않은 점을 이유로 들었다.
피해 규모 2억4300만 원... "KT 귀책"
"펨토셀 연결 단말기서 도청 가능했다"
KT, 30일 이사회서 위약금 면제 논의
 |
류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 KTㆍLGU+ 침해사고 조사 결과 브리핑에 참석해 취재진 질문에 답하고 있다. 연합뉴스 |
과학기술정보통신부가 불법 초소형 기지국(펨토셀)을 악용한 '무단 소액결제' 사고가 발생한 KT에 가입자 전원의 해지 위약금을 면제할 것을 요구했다. 다만 일각에서 예상됐던 영업정지는 발표되지 않았다.
과기정통부 민관합동조사단은 29일 서울 종로구 정부서울청사에서 KT 침해사고 최종 조사 결과를 발표했다. 통신결제 데이터가 남아 있는 지난해 8월 1일부터 올해 9월 10일까지 KT 기지국 접속기록 4조300억 건, 통신결제 대행 기록 1억5,000만 건, 음성·문자메시지(SMS) 기록 978억 건, 고객 문의 30만 건 이상을 분석한 결과 2만2,227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명이 총 777건 무단 소액결제로 2억4,300만 원 규모의 피해를 입은 것으로 집계됐다.
"도청 가능했지만, 실제 흔적은 없었다"
 |
이정수 경기남부경찰청 사이버수사과장이 29일 서울 종로구 정부서울청사에서 브리핑을 하고 있다. 뉴시스 |
과기정통부는 사고 원인이 KT의 펨토셀 인프라 관리 부실이라고 못 박았다. △KT에 납품되는 모든 펨토셀이 동일 제조사 인증서를 사용했기에 인증서를 복사하면 정상 펨토셀이 아니어도 KT 인증서를 받아올 수 있었던 점 △KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT 내부망에 접속했던 이력이 있다면 지속적으로 접속이 가능했던 점 △KT가 펨토셀 접속 인증 과정에서 비정상 IP를 차단하지 않은 점 △펨토셀 고유번호나 설치 지역 정보도 검증하지 않은 점을 이유로 들었다.
불법 펨토셀과 연결된 이용자 단말기에서 송·수신된 문자와 음성 통화 정보를 탈취할 수 있었다는 사실도 확인됐다. 도청이 가능했단 의미다. 통신 과정에선 휴대폰과 KT 내부망 간의 송·수신 정보가 암호화돼야 하는데, 불법 펨토셀로 암호화를 해제할 수 있었다는 것이다. 다만 실제 문자나 음성을 탈취한 흔적은 발견되지 않았다. 경기남부경찰청에 따르면 피의자들은 경기 지역 군부대에서 유실된 KT 펨토셀 인증서를 불법 입수해 지난해 5월부터 범행을 시도했다.
"위약금 면제 안 받아들이면 행정명령"
 |
29일 서울 종로구 정부서울청사에서 과학기술정보통신부의 KTㆍLGU+ 침해사고 조사 결과 브리핑이 열리고 있다. 연합뉴스 |
과기정통부는 법률 자문을 거쳐 이번 사고가 KT 약관상 이용자가 서비스를 해지할 경우 위약금을 면제해주는 규정에 해당한다고 판단했다. 사고가 KT의 과실이고, 펨토셀 관리 부실은 안전한 통신 서비스 제공이라는 의무 위반이라는 것이다. 또 KT는 지난해 3월 웹셸, BPF도어 같은 악성코드를 발견했지만 신고하지 않고 자체 조치만 취했다. 이를 포함한 여러 위반 행위에 대해 과기정통부는 3,000만 원 이하 과태료를 예고했다. 앞서 4월 유심 해킹 사고가 발생한 SKT는 7월 조사 결과 발표 후 위약금 면제 조치를 밝혔다. 과기정통부 관계자는 "KT가 위약금 면제를 받아들이지 않는다면 행정명령을 내릴 것"이라고 덧붙였다.
 |
KT 무단 소액결제 사태에 대한 최종 조사 결과가 발표된 29일 서울의 한 KT 대리점 앞을 시민들이 지나고 있다. 뉴스1 |
배경훈 부총리 겸 과기정통부 장관은 지난 2일 국회 현안질의에서 "조사 결과가 나오면 영업정지 등 제재를 검토하겠다"고 했다. 하지만 이날 영업정지는 발표되지 않았다. 류제명 과기정통부 제2차관은 "SKT에 신규 영업정지 행정명령을 했던 건 당시 유심 재고가 부족했기 때문이지 통신사에 대한 징벌적 조치는 아니었다"고 설명했다. 업계에서는 피해가 발생한 소액결제 서비스 같은 일부 영역에 대한 영업정지 가능성을 점쳤었다.
KT는 "조사 결과를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정"이라고 밝혔다. KT는 30일 오전 이사회를 열고 위약금 면제를 의결할 예정이다.
김진욱 기자 kimjinuk@hankookilbo.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
!['처가 손절' 이승기, 결혼 3년 차에 결국 해외로 떠났다…"이홍기와 잘 어울릴 듯" ('체인지')[종합]](/_next/image?url=https%3A%2F%2Fthumb.zumst.com%2F256x144%2Fhttps%3A%2F%2Fstatic.news.zumst.com%2Fimages%2F77%2F2025%2F12%2F28%2F354e2df0b73e4a63b54417b9c52ed72c.jpg&w=384&q=100)
