과학기술정보통신부는 KT 침해사고에 대한 민관합동조사단의 최종 조사결과와 KT 이용약관상 위약금 면제 규정 적용 여부를 29일 정부서울청사에서 발표했다. 펨토셀 관리 미흡이 원인이 돼 무단 소액결제까지 이어진 것으로 봤고 KT가 계약상 주된 의무를 다하지 못한 점을 고려해 위약금 면제 규정 적용이 가능하다고 판단했다.
조사단은 KT 펨토셀 관리 전반에 대한 보안 실태 조사와 경찰 압수물 정밀 분석 KT 전체 서버 약 3만3000대에 대한 악성코드 점검을 실시했다. 그 결과 불법 펨토셀을 통한 무단 소액결제 피해자는 368명, 피해 금액은 2억4300만원으로 확인됐다. 감염 서버 94대에서 악성코드 103종이 발견됐다. 가입자 식별번호와 단말기 식별번호 전화번호 등 개인정보 2만2227건이 유출된 것으로 확인됐다. 다만 과기정통부는 통신결제대행 기록이 남아 있지 않은 일부 기간은 추가 피해 확인이 불가능하다고 설명했다.
조사단은 사고 원인으로 펨토셀 보안 관리 부실을 지목했다. KT는 모든 펨토셀에 동일한 제조사 인증서를 사용했고 복사시 정상 장비가 아니어도 접근할 수 있었고 인증서 유효기간을 10년으로 설정해 한 번 접속 이력이 있으면 장기간 내부망 접근이 가능했다. 비정상 IP 차단과 펨토셀 형상정보 검증도 이뤄지지 않았다.
원칙적으로 단말~코어망 구간에서 종단 암호화(IPSec)가 유지돼야 하지만 불법 펨토셀 환경에서 암호화 해제 가능성도 확인됐다. ARS·SMS 등 결제 인증정보가 평문으로 노출될 수 있고 일부 단말에서는 설정 지원이 미비해 SMS 평문이 전송돼 KT가 이를 조치하기도 했다.
조사단은 "펨토셀 부실 관리로 야기된 평문 문자와 음성통화 탈취 위험성은 소액결제 피해 이용자에만 국한되지 않고 전체 이용자가 위험성에 노출됐던 것으로 판단했다"며 "침해사고에서 KT의 과실이 발견된 점과 계약상 주된 의무를 다하지 못한 점을 고려했다"고 했다.
KT가 해당 사태를 자체 조치한 사실도 드러났다. 웹셸·BPF도어 등 악성코드 감염서버 41대를 발견했지만 정부에 신고하지 않고 자체적으로 기록을 지웠다. 로그기록이 남아있는 기간에는 유출 정황이 파악되지 않았지만 로그 보관 기간이 1~2개월 남짓이었다. 정부는 과태료를 부과하는 한편 경찰 수사를 의뢰했다.
과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 사유에 해당하는지 검토한 결과 KT 과실이 명확하다고 판단했다. 펨토셀 관리 부실로 불법 펨토셀이 내부망에 상시 접속 가능했고 통신 암호화 해제가 가능했던 점에서 KT는 전체 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 봤다. KT 전체 이용자를 대상으로 위약금 면제가 가능한 회사 귀책 사유에 해당한다고 결론 내렸다.
이번 조사결과를 토대로 내달까지 KT에 재발방지 대책에 따른 이행계획을 제출하도록 하고 2분기까지 KT 이행 여부를 점검할 계획이다. 보완이 필요한 사항에 대해서는 정보통신망법에 따라 시정조치를 명령할 계획이다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>