“KT, 관리부실로 해킹… 모든 가입자 위약금 면제해야”

정부, 민관 합동조사 결과 발표
“94대 서버 103종 악성코드 감염”
SKT 3배, 1300만명 정보 유출될뻔

KT의 소형기지국(펨토셀) 관리 부실로 1300만 가입자의 정보가 유출될 뻔했던 것으로 나타났다. 이에 정부는 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못한 책임을 물어 KT에 1300만 가입자가 다른 통신사로 이동하더라도 위약금을 받지 말아야 한다고 요구했다. KT의 과실이 명확하고, 서버 94대가 무려 103종의 악성코드에 감염되는 등 SK텔레콤 해킹 사고를 웃도는 ‘역대급’ 사고라고 판단해서다.

29일 과학기술정보통신부는 서울 종로구 정부서울청사에서 KT 침해사고 민관합동조사단의 최종 조사 결과를 발표하며 KT가 계약상 주된 의무를 다하지 못한 점을 고려해 위약금 면제 규정이 적용 가능하다는 의견을 밝혔다.

민관 조사단이 KT 서버 3만3000대를 정밀 조사한 결과 총 94대 서버가 ‘BPF도어’ ‘루트킷’ 등 총 103종의 악성코드에 감염된 것이 확인됐다. 28대의 서버에서 33종의 악성코드가 감염됐던 SK텔레콤보다 더 감염 범위가 광범위했던 셈이다. 서버 감염과 별개로 소액 결제 사고의 핵심 ‘매개체’가 됐던 불법 펨토셀에 대한 관리 부실도 드러났다. 조사 결과 KT에 납품되는 모든 펨토셀 제품은 동일한 제조사 인증서를 사용하고 있어 이 인증서를 이용하면 정상 펨토셀이 아니더라도 KT 망에 접속이 가능했다. 공격자들은 불법 펨토셀을 활용해 암호화가 되기 전 평문의 문자 및 ARS 내용을 탈취해 소액결제에 활용한 것으로 조사됐다.

KT 무단 소액결제 사건을 수사 중인 경기남부경찰청 사이버수사과는 범인들이 이미 지난해 펨토셀을 운영한 정황도 확인했다. 범인들은 지난해 5월 불법 펨토셀을 차량에 싣고 서울 전역을 돌아다니며 범죄를 시도했으나 장비가 제대로 작동하지 않아 실패했다가, 해당 장비로 올해 같은 범죄를 다시 시도한 것으로 나타났다.

과기정통부는 위약금 면제 외에도 KT가 침해사고 이후 신고를 뒤늦게 한 것에 대해 정보통신망법에 의거해 3000만 원 이하의 과태료를 부과할 예정이라고 밝혔다. KT는 “고객 보상안이 확정되는 대로 조속히 발표할 예정”이라고 밝혔다.

익명의 화이트해커의 제보로 시작된 LG유플러스의 정보 유출 조사에 대해서는 특정 서버에서 서버 계정 정보, 임직원 성명 등 정보가 유출된 것을 확인했다. 정부가 정밀 분석을 시작하기 전 LG유플러스가 서버 운영체제(OS) 재설치 및 폐기를 통해 증거를 인멸했다는 의혹이 있어 경찰청에 수사 의뢰한 상태다.