<류제명 과학기술정보통신부 제2차관>
안녕하십니까? 과학기술정보통신부 제2차관 류제명입니다.

지금부터 KT 및 LGU+ 침해사고에 대한 최종 조사 결과를 말씀드리겠습니다.

정부는 이번 침해사고가 많은 국민께 불편과 불안을 초래한 만큼 엄정하고 철저한 조사와 투명한 공개를 원칙으로 조사를 진행하였습니다.

먼저, KT 침해사고 조사 개요입니다.

지난 9월 8일 KT는 등록되지 않은 불법기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원에 침해사고를 신고하였습니다.

과기정통부는 이번 사고가 국민의 금전적 피해가 발생하였고, 공격방식에 대해 면밀한 분석이 필요한 중대한 침해사고로 판단하여 9월 9일부터 민관합동조사단을 구성하고 피해 현황과 사고 원인을 조사하였습니다.

조사단은 KT가 보유·관리하고 있는 펨토셀 전반에 대한 보안 실태를 조사하고 불법 펨토셀에 의한 침해사고가 발생한 경위와 사고 원인을 파악하기 위해 경찰청과 협력하여 피의자로부터 확보한 압수물을 정밀 분석하는 한편, KT 통신망 테스트베드를 활용하여 펨토셀 운영 및 통신 암호화 관련 문제점을 파악하였습니다.

아울러, 불법 펨토셀로 인한 개인정보 유출 및 무단 소액결제 등 피해 규모도 검증하였습니다.

또한, KT 전체 서버 약 3만 3,000대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 조사하고, 감염서버에 대해서는 포렌식 등 정밀분석을 통해 정보유출 등 피해 발생 여부를 파악했습니다.

다음으로, KT 침해사고 주요 조사 결과에 대해 말씀드리겠습니다.

먼저, 피해 규모와 관련하여 불법 펨토셀에 접속한 KT 이용자 2만 2,227명의 가입자 식별번호, 단말기 식별번호, 전화번호가 유출되었고, 368명이 무단 소액결제로 인해 약 2억 4,300만 원의 금전 피해가 발생했음을 확인하였습니다.

또한, 조사단은 KT 전체 서버 점검과 감염서버 포렌식 과정을 통해 총 94대 서버에서 BPFDoor, 루트킷 등 악성코드 103종이 감염되었음을 확인하였습니다.

조사단은 KT의 보안 문제점도 다수 확인하였습니다.

KT는 펨토셀의 생산, 납품 및 내부망 접속 인증 전반에 있어 보안 관리가 부실하여 불법 펨토셀의 접속을 허용하였으며, 불법 펨토셀에 의해 통신 암호화가 해제되어 평문의 인증정보 등이 공격자에게 노출되는 문제가 있었습니다.

또한, 전사 차원의 정보보호 거버넌스 및 자산 관리 체계가 미흡하였고 보안장비 도입, 공급망 보안 관리 등 전반적인 정보보호 활동에 있어서도 개선이 필요한 사항이 다수 확인되었습니다.

다음으로, KT 이용약관상 위약금 면제 규정과 관련한 과기정통부 검토 결과를 말씀드리겠습니다.

과기정통부는 조사단의 조사 결과를 바탕으로 5개 로펌의 법률 자문을 진행하였습니다.

대부분의 법률자문기관에서는 이번 침해사고를 KT의 과실로 판단했고, 펨토셀 관리 부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시하였습니다.

참고로 법률자문기관 1곳은 정보유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시했습니다.

과기정통부는 이번 침해사고가 KT의 이용약관상 기타 회사의 귀책사유에 해당하는지에 대해 침해사고에서 KT 과실 여부, 전체 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반하였는지 여부를 중점적으로 판단하였습니다.

첫째, 침해사고에서 KT 과실 여부에 대해 말씀드리겠습니다.

조사단의 조사 결과에 따르면 이번 침해사고와 관련하여 KT의 펨토셀 인증서 관리, 펨토셀 외주 제작사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었으며, 이 과정에서 KT가 정보통신망법을 위반한 사실이 확인되었습니다.

따라서, KT는 안전한 통신서비스 제공을 위해 일반적으로 기대되는 사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했으므로 KT에 과실이 있는 것으로 판단하였습니다.

둘째, 통신서비스 제공에 있어 주된 의무 위반에 대해 말씀드리겠습니다.

정보통신망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며, 국민의 일상생활 전반이 통신서비스를 기반으로 이루어지고 있는 점을 고려할 때 이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호조치를 할 것으로 기대할 수 있습니다. 따라서 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있습니다.

이번 침해사고에서 KT가 부실하게 관리한 것으로 확인한 펨토셀은 이용자 단말기와 KT 내부망을 연결하는 장치로, 안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소입니다.

조사단의 조사 결과에 따르면 KT는 펨토셀 관리 전반이 부실하여 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었고, 통신 트래픽 캡처가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신 되는 문자, 음성통화의 정보 탈취가 가능했던 사실이 확인되었습니다.

또한, 통신 과정에서 이용자 단말기와 KT 내부망 간 송·수신되는 정보는 종단 암호화가 이루어졌어야 하나 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인되었습니다.

이는 통신 트래픽 캡처가 가능한 불법 펨토셀에서 이용자가 송·수신하는 평문의 문자, 음성통화 정보를 탈취할 수 있는 위험한 상황에 이용자가 노출된 것이며, 실제 일부 지역에서 피해도 발생하였습니다.

따라서 과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출되었던 것으로 판단했고, KT는 침해사고를 대비하여 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 판단했습니다.

결론적으로 과기정통부는 이번 침해사고에서 KT 과실이 발견된 점, KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단하였습니다.

다음으로, LGU+ 침해사고 조사 결과를 말씀드리겠습니다.

과기정통부는 익명의 제보자가 보안전문지 프랙을 통해 밝힌 LGU+ 침해 정황과 관련하여 지난 8월 25일부터 현장 조사를 시작하였으며, 10월 23일 LGU+로부터 침해사고 신고를 접수받고 10월 24일부터 민관합동조사단을 구성·운영하였습니다.

조사단은 정보유출 등 침해 흔적을 확인하기 위해 관련 서버를 포렌식 등 정밀분석하려 했으나 운영체제, OS 재설치 또는 서버 폐기로 원활한 조사가 불가능하였습니다.

또한, 서버 폐기 등이 한국인터넷진흥원이 침해사고 정황을 LGU+에 안내한 7월 19일 이후에 이루어진 점을 고려, 과기정통부는 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 12월 9일 수사를 의뢰하였습니다.

KT 침해사고에 대한 수사·조사 결과와 LGU+ 침해사고 조사 결과에 대한 추가적인 내용은 경기남부경찰청과 과기정통부 담당 과장이 이어서 발표해 주시겠습니다.


<이정수 경기남부경찰청 사이버수사과장>
안녕하십니까? 경기남부경찰청 사이버수사과장입니다.

KT 휴대폰 부정 결제 다중 피해 사건의 수사 결과를 말씀드리겠습니다.

경찰은 2025년 8월경 경기 광명 지역에서 알 수 없는 상태에서 휴대폰 소액결제가 발생하였다는 다수 피해 신고를 접수하고 경기남부경찰청 사이버수사대를 책임수사관서로 지정하여 수사에 착수하였습니다.

전국의 피해 신고를 확인한 결과, 2025년 8월 5일부터 9월 5일까지 경기 광명, 서울 금천 등 9개 지역에서 KT 통신사를 사용하는 피해자 총 227명의 휴대폰으로 모바일 상품권을 구입하여 1억 4,000여만 원 상당의 소액결제 피해가 발생한 사실을 확인하였습니다.

이에 대한 수사 결과, 불법 펨토셀 등 장비 운영에 관여한 피의자 5명, 모바일 상품권을 현금화하고 중국으로 송금하는 데 관여한 피의자 3명, 범행에 사용된 대포유심을 제공한 피의자 5명 등 총 13명을 검거하고 이 중 5명을 구속 송치하였으며, 미검 피의자 중 범행을 총괄한 피의자 1명은 인터폴 적색수배 등 국제공조를 요청하였고, 상선으로부터 장비 운영에 범행 대가를 받아 피의자 A에게 전달한 피의자 1명도 수배 조치하였습니다.

또한, 불법 펨토셀을 운영하는 피의자를 검거하는 과정에서 범행에 사용된 불법 펨토셀이 보따리상을 통해 평택항에서 중국으로 반출되기 직전에 긴급히 입수하여 확보하였습니다.

압수한 장비 관련 설명드리겠습니다. 압수한 장비는 불법 펨토셀 2개, 라우터 5개, 안테나 등 총 31개이며, 불법 펨토셀 2개는 중국과 대만에서 제조된 것으로 국내 인증을 받지 않은 제품으로 확인되었습니다. 이 중 범행에 사용된 장비는 옥외형 펨토셀 1개, 라우터 2개 등으로 확인되었습니다.

다음은 불법 펨토셀 입수 및 운영 경위 관련 말씀드리겠습니다.

피의자 B는 작년 4월경 상선으로부터 불법 기지국 운영을 지시받고 경기 남부 모처에서 장비를 전달받았으며, 당시 피의자 B가 섭외한 피의자 C와 함께 작년 5월 2일부터 9일까지 약 8일간 서울 전역을 돌아다니며 운영하였으나 장비가 정상 작동되지 않아 운영을 종료하였습니다.

작년 9월경 상선의 지시에 따라 불법 펨토셀 장비와 라우터는 보따리상을 통해 중국으로 반출하였고 나머지 구성품은 주거지에 보관하였습니다.

금년 4월경 상선으로부터 보관 중인 구성품에 추가로 LTE 라우터를 대여해서 피의자 D에게 전달하라는 지시를 받아 6월경 피의자 D에게 장비를 전달하였습니다.

피의자 D는 피의자 B에게 받은 장비 외에도 금년 6월 상선이 보낸 옥외형 펨토셀과 금년 7월 중순 중국으로 출국하여 상선에게 받은 노트북, 휴대폰을 7월 19일경 피의자 A에게 전달하였습니다.

범행에 사용된 노트북과 휴대폰은 본 건 소액결제 범행 직후 다른 경로를 통해 중국으로 넘어가서 확보할 수 없었습니다.

범행에 사용된 불법 펨토셀을 검증하여 분석한 결과 KT 인증서, 개인키, KT 서버 IP, 소액결제 범행 시 사용된 셀 ID 1개, 통신정보를 가로채 외부로 전송하는 프로그램, 관리자가 접속한 IP 등이 발견되었습니다.

이 중 KT 인증서는 2019년 7월 경기 북부에 있는 군부대에 설치되었던 KT 펨토셀 인증서로, 해당 펨토셀은 2020년 1월경 막사 이전 시 유실된 것으로 확인되었습니다. 상선은 이 유실된 펨토셀을 입수하여 저장된 인증서를 복사, 범행에 사용한 것으로 추정됩니다.

또한, 외부에서 불법 펨토셀에 접속한 IP를 특정하여 수사하였으나 본 건과 관련하여 국내 추가 불법 펨토셀 존재 등 특이 사항은 발견되지 않았습니다.

KT는 2024년 8월 1일부터 금년 9월 10일까지 불법 기지국을 전수조사, 셀 ID 20개가 발견되었다고 발표하였습니다. 이에 대한 수사 사항을 말씀드리겠습니다.

경찰은 불법 셀 ID 20개의 접속 기록을 확보하였고, 피의자 A의 휴대폰 기지국 이동경로, 셀 ID에 접속한 피의자의 휴대폰 위치 등을 교차 분석한 결과 경찰이 확보한 불법 펨토셀이 셀 ID 7개를 사용한 것으로 확인하였습니다.

그 외의 셀 ID는 ID당 한두 개 휴대폰 정도만 연결되는 등 운영 일수에 비해 연결된 단말기 수가 현저히 적어 불상의 장소에서 시험 목적으로 운영한 것으로 판단됩니다.

특히, 피의자들이 범죄에 사용한 휴대전화 20여 개가 셀 ID 20여 개에 교차 연결된 기록이 있어 현재까지 확인된 20개의 셀 ID는 모두 본 건 피의자들이 사용한 것으로 판단됩니다.

각 피의자의 구속 여부, 송치일 등은 배포된 보도자료를 참고해 주시기 바랍니다. 감사합니다.


<최광기 과학기술정보통신부 사이버침해대응과장>
과기정통부 사이버침해대응과장 최광기입니다.

지금부터는 KT 및 LGU+ 조사 결과에 대한 추가적인 내용을 말씀드리겠습니다.

먼저, 피해 현황과 관련하여 조사단은 KT가 지난 10월 17일에 발표한 불법 펨토셀 관련 피해 규모 산출 방법의 적절성과 산출 과정에서 피해 누락이 있었는지 여부에 대한 검증을 거쳐 KT가 산출한 피해 규모가 이상 없음을 확인하였습니다.

다만, 통신 결제 관련 데이터가 남아 있지 않은 2024년 7월 31일 이전의 기간에는 추가 피해 여부를 확인할 수 없었습니다.

악성코드 감염과 관련하여 KT가 정부에 신고 없이 2024년 3월부터 7월에 걸쳐 자체적으로 조치한 악성코드 감염 서버는 총 41대로 BPFDoor 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종의 악성코드를 확인하였습니다.

조사단은 SK텔레콤 침해사고 조사 당시 KT의 BPFDoor 감염 여부를 점검하였으나 KT가 2024년에 이미 악성코드 삭제 등 조치를 취하여 BPFDoor 등의 악성코드가 발견되지는 않은 바 있습니다.

또한, 외부업체 보안점검 과정에서 침해 흔적이 발견된 서버 그리고 이와 연계된 서버에서 53대 서버가 감염되었으며, 해당 서버들에서 루트킷 39종, 백도어 36종, 디도스 공격형 2종 등 악성코드 77종을 확인하였습니다.

이 중 루트킷은 BPFDoor와 같은 은닉형 악성코드로 익명의 화이트해커가 프랙에 제보한 보고서에 언급된 바 있습니다.

확인된 악성코드 정보는 피해 확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간 및 공공기관에 즉시 공유하였으며 악성코드 점검 가이드를 보호나라 누리집을 통해 배포하였습니다.

악성코드 감염에 의한 정보 유출과 관련하여 조사단은 일부 감염서버에서 이름, 전화번호 등 개인정보가 저장되어 있으나 정밀분석 결과 로그기록이 남아 있는 기간에는 유출 정황이 없는 것을 확인하였습니다.

다만, KT의 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽과 같은 보안장비 없이 운영함에 따라 로그 분석에 한계가 있어 로그기록이 남아 있지 않은 기간에 대한 유출 여부를 확인할 수는 없었습니다.

다음으로, 사고 원인에 대해 말씀드리겠습니다.

먼저, 불법 펨토셀로 인한 침해사고입니다.

조사단은 경찰의 협조를 받아 피의자의 불법 펨토셀을 확보하여 포렌식 분석을 하였고, 그 결과 해당 펨토셀에 KT망 접속에 필요한 KT 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐 가는 트래픽을 캡처하여 제3의 장소로 전송하는 기능이 있음을 확인하여 이를 바탕으로 사고 원인을 파악하였습니다.

공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서와 KT 서버 IP 주소 정보를 복사하여 KT 내부망에 접속하였습니다. 그 후에는 불법 펨토셀이 강한 전파를 방출하도록 해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호 등의 정보를 탈취하였습니다.

공격자는 탈취한 정보를 미상의 경로로 취득한 성명, 생년월일, 전화번호 등 개인정보와 결합하여 피해자를 선정하고 피해자의 개인정보로 상품권 구매 사이트에 접속하여 상품권 구매를 시도하였으며, 구매 과정에서 피해자에게 전달되는 ARS, SMS 등의 인증정보를 불법 펨토셀을 통해 탈취하여 무단 소액결제를 한 것으로 판단됩니다.

조사단은 웹셸과 BPFDoor 등 악성코드 감염에 대해 2022년 4월 2일부터 2024년 4월 19일까지 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용하여 서버에 웹셸을 업로드하고 BPFDoor 등의 악성코드를 확산시킨 것으로 추정하였습니다.

다만, 루트킷, 백도어 등 악성코드 감염에 대해서는 2023년 3월 11일부터 2025년 7월 4일까지의 감염 시점 당시 방화벽, 시스템 로그와 같은 기록이 남아 있지 않아 공격자의 침투 방법을 판단할 수 없었습니다.

다음으로, KT의 정보보호 문제점 및 재발방지 대책에 대해 말씀드리겠습니다.

먼저, 조사단은 KT의 펨토셀 관리체계가 전반적으로 부실하여 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경임을 확인하였습니다.

조사단은 KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 정상 펨토셀이 아니더라도 내부망의 인증서버로부터 KT 인증서를 받아 KT망에 접속이 가능함을 확인하였습니다.

또한, KT 인증서 유효기간이 10년으로 설정되어 있어 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점을 발견하였습니다.

그리고 KT는 펨토셀 접속 인증 과정에서 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호라든가 설치 지역 정보 등 형상정보가 KT망에 등록된 정보인지에 대해서도 검증하지 않았습니다.

또한, 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공하였으며, 펨토셀 내 저장장치에서 해당 정보를 쉽게 추출할 수 있는 것이 가능하였습니다.

이에 조사단은 불법 펨토셀 접속 차단을 위해 통신3사의 신규 펨토셀 접속을 전면 제한하는 한편, KT에 펨토셀이 발급받은 통신사 인증서 유효기간을 1개월로 단축하고 펨토셀이 KT망에 접속 요구 시 KT 유선 IP 외에는 차단, 형상정보가 KT망에 등록된 정보인지에 대해서 확인하는 등 조치를 취하도록 하였습니다.

이에 대한 재발방지 대책으로 KT는 제조사가 펨토셀 생산 시 인증서라든가 통신사 인증서버 IP, 셀 ID에 대한 보안 정책을 마련하도록 해야 합니다.

또한, 펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP의 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 차단 등 기술적 조치를 취하는 한편, 펨토셀 보안 취약점의 신속한 조치를 위해 화이트해커와 협력체계를 구축해야 합니다.

다음으로, 통신 암호화 관련 문제점입니다.

KT는 국제표준화기구와 한국정보통신기술협회의 표준권고에 따라 단말과 펨토셀 간, 펨토셀과 통신사 국사 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있습니다.

그러나 KT는 통신 과정에서 종단 암호화가 해지되지 않아야 함에도 불구하고 불법 펨토셀에 의해 암호화가 해제되어 ARS, SMS와 같은 결제 인증정보가 평문으로 전송되었습니다.

또한, 조사단은 통신 트래픽 캡처가 가능한 불법 펨토셀에서 문자와 통화 탈취도 가능한 것을 확인하였습니다. 특히, 아이폰 16 이하와 같은 일부 단말에서는 KT가 암호화 설정 자체를 지원하지 않아 문자 메시지가 평문으로 전송되는 문제를 확인하여 이에 대한 조치를 취하도록 하였습니다.

이에 대한 재발방지 대책으로 KT는 이용자 단말기부터 코어망까지 종단 암호화가 해제되지 않도록 설정하고, 종단 암호화 해제 여부와 비정상 신호 트래픽 인입에 대해 모니터링을 강화해야 합니다.

또한, 조사단은 이번 침해사고 조사 과정에서 KT가 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동에 소홀... 미흡하였으며, 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이루어지지 않은 사실도 확인하였습니다.

첫 번째로 KT는 자체 규정에 따라 보안점검을 실시하여야 하나 보안점검 미흡으로 인해 쉽게 탐지가 가능한 웹셸도 발견하지 못했습니다.

둘째, KT는 펨토셀 인증 및 제품 등록을 관리하는 시스템을 방화벽 등 보안장비 없이 운영함에 따라 외부 공격에 취약한 상태이며 시스템 로그기록 보관 기간이 1~2개월에 불과하여 침해사고 최초 침투시점, 악성코드 감염 방법 등 상세한 사고원인을 파악하는 데 한계가 있었습니다.

셋째, KT는 정보통신망법 등에 따라 정보보호최고책임자가 정보보호 관련 업무를 총괄하여야 하나 보안 업무를 정보기술 부문, 네트워크 부문, 정보보안실로 구분하여 조직별로 수행하고 있었습니다.

넷째, KT는 전체 자산 종류, 규모 등 자산 이력을 체계적으로 관리하지 않고 있었으며, 시스템 내 등록된 자산과 실물 간 정보도 불일치하였습니다.

다섯째, KT는 협력업체로부터 공급받는 펨토셀 장비에 대한 표준 보안 규격서, 소프트웨어 구성 요소에 대한 관리체계가 부재하고, 고객에게 유통된 펨토셀에 대한 실시간 자산 현황관리가 제대로 이루어지지 않았습니다.

재발방지 대책으로 KT는 첫째, EDR, 백신 등 보안 설루션 도입을 확대하고 제로트러스트 보안 체계를 도입하는 한편, 분기별 1회 이상 보안 취약점 정기점검 및 제거 등 보안관리를 강화해야 합니다.

둘째, 펨토셀 인증 등 관리 시스템에 방화벽 등 보안장비를 도입하고, 시스템 로그기록을 최소 1년 이상 보관하는 한편 중앙 로그 관리 시스템을 구축하여야 합니다.

셋째, 정보보호책임자의 정보보호 인력·예산 편성권, 이사회에 정보보호 현황 보고 등 권한을 강화하는 정보통신망법 개정이 진행 중인 상황을 고려하여 정보보호최고책임자가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하고, 전사 차원의 중장기 보안 업무 계획을 수립하여야 합니다.

넷째, 전사 자산을 담당하는 정보보호최고책임자를 지정하고 정보기술 자산관리 설루션을 도입하여야 합니다.

다섯째, 펨토셀 운영 전반에 걸쳐 하드웨어, 소프트웨어 공급망 보안 관리체계를 수립하고 관리해야 합니다.

다음으로 2024년 3월 자체적으로... 다음으로, 과거 침해사고 미신고 관련된 문제점입니다.

KT는 2024년 3월 자체적으로 수행한 보안점검 과정에서 웹셸과 BPFDoor 등 악성코드를 발견하였습니다. 그러나 정보통신망법에 따른 침해사고 신고를 하지 않고 자체적으로 조치하였습니다.

이에 대한 재발방지 대책으로 KT는 침해사고 발생 시 신속한 보고체계를 확립하고 정보통신망법에 따른 신고 의무를 준수해야 합니다.

다음으로, KT의 법 위반 사항에 대해 말씀드리겠습니다.

먼저, 정보통신망법에 따라 침해사고가 발생하면 이를 인지한 후 24시간 이내에 신고해야 하나 KT는 발생사고 3건에 대해서 지연신고하거나 신고 자체를 하지 않았습니다. 이에 과기정통부는 정보통신망법에 따라 3,000만 원 이하 과태료를 부과할 계획입니다.

또한, KT는 프랙 보고서에서 제보된 침해 정황 서버와 관련하여 8월 1일에 서버를 폐기하였다고 답변하였으나 실제 폐기 시점이 좀 달랐고 그리고 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았습니다.

이에 과기정통부는 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단하여 위계에 의한 공무집행방해에 따라 10월 2일 수사기관에 수사를 의뢰하였습니다.

과기정통부는 이번 조사단의 조사 결과를 토대로 2026년 1월까지 KT에 재발방지 대책에 따른 이행계획을 제출토록 할 예정입니다. 이후 KT가 조치한 이행 상황을 점검하고 보완이 필요한 사항에 대해서는 정보통신망법 제48조의 4에 따라 시정조치를 명령할 계획입니다.

또한, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획입니다.

다음으로, LGU+ 침해사고에 대한 조사 결과를 말씀드리겠습니다.

익명의 제보자가 유출되었다고 주장한 LGU+의 통합서버 접근제어 설루션과 연결된 서버 목록, 서버 계정 정보, 임직원 서명... 성명 등의 정보는 실제 LGU+에서 유출된 것으로 확인되었습니다.

조사단은 LGU+에게 제출받은 서버 접근제어 설루션에 대해서 정밀 포렌식 분석을 진행한 결과 익명의 제보자가 공개한 LGU+ 유출 자료와 상이한 것을 확인하였으며, 자료가 유출된 것으로 추정되는 또 다른 APPM 서버는 LGU+의 운영체제 업그레이드 등의 작업으로 인해서 침해사고 흔적을 확인할 수 없는 상황임을 확인하였습니다.

또한, 익명의 제보자는 공격자가 LGU+ 서버 접근제어 설루션을 제공하는 협력사를 해킹한 후 LGU+에 침투하였음을 주장하였습니다. 이에 조사단은 이 주장에 대해서도 확인을 시도하였으나 협력사 직원의 노트북에서부터 LGU+의 서버 접근제어 설루션 서버로 이어지는 네트워크 경로상의 주요 서버 등이 8월 12일부터 9월 15일 동안 모두 OS가 재설치되거나 폐기되어 조사가 불가능한 상황임을 확인하였습니다.

조사단은 LGU+의 관련 서버 OS 재설치 또는 폐기 행위가 한국인터넷진흥원이 침해사고 정황 등에 대해 LGU+에 7월 19일 안내한 이후에 이루어진 점을 고려해 부적절한 조치로 판단하고 이에 위계에 의한 공무집행 방해로 12월 9일 경찰청에 수사 의뢰를 하였습니다.

이상으로 KT 및 LGU+ 침해사고에 대한 최종 조사 결과 발표를 마치겠습니다. 추가로 설명이 필요한 부분에 대해서는 질의응답을 통해 상세히 설명드리도록 하겠습니다. 감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 한 가지라고 말씀하셨는데 2개를 질문드리면요. 일단 KT는 이게 단일 사건 여러 개가 섞여 있는 것 같고 해서 정확한 피해를 회사가 언제 인지했느냐에 대한 부분이 좀 모호한 것 같은데, 그래서 위약금 면제 관련해서 언제부터 소급을 하는지 그리고 면제 기간은 또 어떻게 되는지가 궁금하고요.

그리고 두 번째로 KT가 최초 공격이 2022년 4월이고 SKT가 2021년으로 큰 차이가 나지는 않는데 혹시나 이게 같은 공격자에 의한 시도일 수도 있는지 이런 가능성에 대해서 어떻게 보시는지 궁금합니다.

<답변> (류제명 과기정통부 제2차관) 첫 번째 질문과 관련돼서 위약금 면제 소급 기간, 또 얼마간 할 거냐는 질문 주셨는데 지난번에 저희가 SK텔레콤 사례에서도 저희가 발표를 했습니다만 일단 저희가 정부가 지금 판단하는 것은 약관상 위약금 면제 사유에 해당하는지 여부를 판단해 드리는 것이고요. 그래서 일단 정부가 지금 말씀드릴 수 있는 거는 KT 전체 이용자를 대상으로 한 위약금 면제가 필요하고, 위약금 면제 사유에 해당한다는 말씀을 드리는 것이고요.

이 면제를 그러면 받는 고객들을 언제부터 소급할 거냐, 하는 문제하고 언제 기간까지 그 기간 내 위약금을, 그러니까 KT를 이동하지 못한 가입자들에 대해서는 얼마간의 기간을 주어서 이 위약금 면제... 위약금이 없이 타 통신사로 이동할 것인지는 지난 SK텔레콤 사례와 같이 KT가 소비자들 또 국민 눈높이에 맞춰서 적절한 판단을 할 것으로 기대합니다.

그다음에 두 번째, BPFDoor 관련된 공격의 유사성에 대해서는 이따 다시 한번 우리 민관합동조사단을 통해서 상세하게 말씀을 드리는 게 필요할 것 같습니다만, 일단 기본적으로는 유사성이 있다고 판단을 하고 있습니다. 그거는 SK텔레콤의 BPFDoor 공격했던 패턴이나 내부 기술적 분석 결과를 통해서 유사성은 있다고 판단되나 이거를 정확하게 같은 공격자인지를 단정하는 거는 좀 한계가 있다는 말씀을 드리겠습니다.

우리 이동근 본부장님이 추가적으로 바로 설명을 하시면 좋을 것 같은데요.

<답변> (이동근 KISA 디지털위협대응본부장) SKT에 BPFDoor가 한 세 가지 유형이 발견됐었는데요. 이번에 KT 쪽에서 그 유형 비슷한 게 나왔습니다. 그런데 유형은 비슷하지만, 유형이 비슷하다는 게 기능적으로 비슷하다는 건데 안에 있는 코드를 정밀하게 분석했을 때 일치 여부를 판단하기에는 정보가 좀 많이 부족했습니다. 추가적으로 IP라든지 여러 가지 연관성 분석이 조금 필요한데 그런 정보들이 없다 보니까 이게 정말 동일한 공격자로 단정짓는 부분에 대해서는 일단은 결론을 내기가 좀 어려운 상황이었습니다.

<답변> (류제명 과기정통부 제2차관) 두 번째 질문과 관련돼서 표현에 유의하고 싶은데요. 이동근 본부장께서 설명하셨듯이 제가 말씀드린 거는 그 두 회사 간에 유사성은 있으나 동일한 공격자인지는 단정하기 어렵다는 게 저희들 결론입니다.

<질문> 악성코드 감염서버와의 연관성이 이번에 확인이 안 됐는데요. 로그기록 한계로 유출 정황이 확인되지 않았다는 건데 이게 유출 정황이 없는 게 확인됐다고 국민들이 안심할 상황인지 먼저 여쭙고요.

또 미상의 경로로 개인정보를 획득해서 불법 펨토셀로 취득한 정보와 결합했다고 했는데 이게 미상의 경로가 악성코드 감염 KT 서버일 가능성은 없는지 확인 부탁드립니다.

<답변> (류제명 과기정통부 제2차관) 아까 제 발표에도 말씀을 드렸습니다만 조사단이 확인할 수 있는 이것은 회사에 로그기록이 남아 있는 기간에 한정됩니다. 그 로그가 남아 있는 기간에 대해서는 유출 여부를, 유출됐다 안 됐다 이렇게 단정적으로 저희가 말씀드릴 수 있는데 KT의 악성코드 감염에 따른 유출 여부도 로그가 남아 있는 기간에서는 유출이 안 됐다는 거는 단정적으로 저희가 말씀드릴 수 있다는 걸 말씀드렸고요. 그런데 로그가 남아 있지 않은 기간에 대해서 유출 여부는 확인할 수 없다는 것이 한계이자 저희가 확인할 수 있는 최대한의 답변이라고 말씀드릴 수 있을 것 같습니다.

그래서 저희가 유출이 안 됐다고 단정하기는 일단 로그가 남아 있는 기간에 유출이 안 됐다는 건 확인되었지만 그 이전에도 안 됐다고 단정할 수는 없다는 것이 저희들 판단입니다. 그런 한계를 좀 이해해 주시기 바랍니다.

그리고 두 번째, 미상의 경로로 개인정보 등을 유출해서 그 피해가 발생하지 않았느냐 여부에 대해서도 저희가 확인할 수 있는 부분은 이런 개인정보들을 담고 있는 DB가 과연 공격을 당해서 유출됐을 가능성이 있었느냐를 판단하는 것인데 이번 합동조사단의 조사 결과에 따르면 개인정보가 그 DB를 통해서 유출된 흔적은 없다는 것이 저희들 판단입니다. 이 부분은 개인정보보호위원회에서 보다 더 추가적인 조사를 통해서 밝힐 부분이라고 생각됩니다.

<질문> 안녕하세요? 오늘 발표 내용을 보면 결국 소액결제에 필요한 개인정보가 여전히 미상의 경로로 획득했다, 말씀하셨거든요. 결국 피의자가 KT 고객 개인정보를 어디서 획득했는지, 폐기한 서버에서 획득했을 가능성은 없는지, 그리고 KT 펨토셀 인증서 미갱신 사실을 어떻게 인지했는지 핵심 사항이 규명되지가 않았어요.

특히 오늘 범행 수법으로 그런 내용이 있더라고요. 셀을 거치는 트래픽을 제3의... 캡처해서 제3의 장소로 전송하는 기능을 확인했다, 말씀하셨는데 이게 펨토셀 소프트웨어를 개조한 지능적 범죄로 보이거든요. 결국 이제 앞으로 추가로 밝혀질 내용에 따라 정부 판단이 달라질 여지가 있어 보이는데 현재 재발방지 대책만으로 이용자 보호가 충분하다고 보시는지, 또 위약금 면제 등 행정조치가 추가될 가능성이 있는지에 대해서 입장 부탁드립니다.

<답변> (류제명 과기정통부 제2차관) 일단 말씀드렸듯이 개인정보 유출 경로나 또 어떤 방식이 적용됐는지는 지금 민관합동조사단의 조사로는 한계가 있었다는 말씀을 드리고, 그 개인정보 유출에 대해서 보다 심층적으로 들여다보는 것은 개인정보보호위원회에서 그렇게 파악이 될 부분이라고 생각됩니다. 그래서 개인정보보호위원회의 추가적인 조치를 살펴봐 주시면 좋을 것 같다는 말씀드리겠고요.

혹시 경찰청에서 추가...

<답변> (이정수 경기남부경찰청 사이버수사과장) 따로 없습니다.

<질문> 종단 암호화 해제 방식 관련해서 설명이 듣고 싶어서 질문드립니다. 일반적으로 종단 간 암호화가 펨토셀 환경에서 해제가 어렵다고 알고 있거든요. 그런데 ARS 인증 같은 경우에 종단 암호화도 해제하고 음성 통화도 가로채서 단말기에서 인증번호 입력까지 이루어져야 되는 걸로 알고 있는데 이 펨토셀 환경에서 암호화가 어떻게 해제 가능한지 구체적인 설명이 듣고 싶고요.

그리고 암호화 해제에 필요한 유심 인증키가 유출될 가능성은 없는지도 설명이 듣고 싶습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 종단 간 암호가 해제되는 경우에 대해서 말씀을 드리겠습니다. 일반적으로 종단 간 암호가 완료된 상태에서 해제를 하는 거는 기술적으로 굉장히 어렵습니다. 거의 불가능에 가까운 수준이고요. 그런데 해커가 노린 부분은 연결된 상태를 해제하는 것이 아니라 최초의 종단 간 암호를 설정하기 위해서 서버와 클라이언트, 그러니까 서버와 단말이 협상을 하게 돼 있습니다. 나는 어떤 암호화를 쓰고 어떤 방법을 쓰고, 이런 과정을 거치는데 그 과정을 방해하게 되면, 그러니까 예를 들어서 IPsec이라는 암호 설정을 하는 초기 단계의 중간에서 불법 펨토셀이 그 과정을 방해를 해버리면 암호 설정 없이 연결이 되는 걸 확인했습니다.

그러니까 정리해서 말씀드리면 해커는 KT망에서 단말이 암호 설정을 하려고 했을 때 중간에서 방해하면 암호 없이도 연결이 된다, 라는 허점을 알고 범행에 사용한 것입니다.

<질문> 저는 한 가지 *** SK텔레콤과 KT가 약간 비슷한, 유사한 느낌의 공격을 받았다, BPFDoor 유사성이 있다, 라고 보셨는데 일각에서는 이게 중국 정부가 주도한 중국 해킹 그룹이 지금 이 해킹을 대대적으로 벌이고 있다, 라는 이야기가 많이 나오는데요. 이에 대해서 민관합동조사단은 어떤 입장이신지 궁금합니다.

<답변> (류제명 과기정통부 제2차관) BPFDoor가 중국의 국가 배후의 해킹 그룹에 의해서 만들어졌다는 그런 게 일종의 글로벌 보안 커뮤니티에서 공인된 사실처럼 확인되고 있는 유형입니다. 그렇지만 그것도 어떤 국가기관이나 또 그거를 인증해 주는 기관에 의한 공식적인 어떤 정의나 그런 건 아니라는 거는 말씀드려야 될 것 같은데요.

일반적으로 중국 해커 그룹이 만들었다는 게 통설인데, 이렇게 SKT 공격에서도 저희가 봤습니다만, 그때 말씀드렸습니다만 이게 어느 시점부터 오픈소스화되면서 특정한 공격 그룹에 의해서 독점적으로 이렇게 활용되는 그런 악성코드가 아니고 다른 해커그룹들이 오픈소스를 활용해서 다방... 다양하게 이렇게 공격하는 그런 유형의, 이 BPFDoor라는 게 그런 특성이 있었습니다.

그래서 그 당시에도 이걸 국가, 중국이라는 국가 배후를 특정하고 접근해야 되지 않느냐는 그런 이야기들이 있었습니다만 그런 공격 시점이나 이런 것들을 봤을 때 오픈소스화된 이후에 이루어진 이런 것들, 이런 상황들을 감안해서 저희가 그때도 정보기관하고의 어떤 협력관계 문제를 논의했습니다만 이번 경우에도 BPFDoor 이게 그런 어떤 의심되는 국가 배후의 공격인지, 이런 오픈소스화된 이후의 공격자에 의한 공격인지는 단정하기는 어렵습니다.

다만, 이번 조사 경우와 관련돼서는 정보기관에 저희가 공식적인 요청에 따라서 이 조사와 관련된 상세한 내용은 서로 공유하고 협조했다는 말씀드리겠습니다. 이상입니다.

<질문> 저 KT 관련 두 가지 질문드릴게요. 피해 현황과 원인 관련해서 어쨌든 확인이 불가능한 부분이 많이 있어서 KT 이용자 입장에서는 추가 피해가 어쨌든 잠재돼 있건 앞으로 또 발생할 수 있건 그런 불안감이 전혀 해소되지 않았다고 보여져서, 예를 들어서 SKT처럼 당시 유심정보 유출이었기 때문에 유심을 교체하고 FDS로 복제폰 생성 불가능하도록 하고 이런 명확한 해결 조치가 있었던 것처럼 추가 확인이나 추가 조치가 가능한 부분이 더 없는지 여쭤보고요.

두 번째, 통신 암호화 관련해서 내용 중에 불법 펨토셀에서 통신 트래픽 캡처가 가능해서 평문의 문자와 통화 탈취가 가능했다, 이게 어찌 보면 가장 심각했을 수 있는 문제로 보여지는데 실제 탈취 흔적은 미발견이라고 돼 있지만 발견이 안 됐을 뿐이지 탈취됐을 가능성이 여전히 있다고 봐야 하나요?

그리고 애초에 KT가 이 아이폰 16 이하 단말에 대해서 종단 암호화 지원을 안 했던 이유도 궁금하고, 앞으로 암호화 설정만 제대로 하면 문제가 없는 건지도 다시 한번 여쭙겠습니다.

<답변> (류제명 과기정통부 제2차관) SK텔레콤의 경우에는 유심정보가 집중적으로 유출됐다는 그런 특징 때문에 유심을 빨리 교체해 드리는 거, 그다음에 그런 외부 부정한 접속을 차단하는 이런 것들로 조치를 구체적으로 했었던 것이고요.

그런데 이번에 불법 펨토셀에 의한 이번 공격은 기존의 저희들도 상당히 사이버 해킹 사고의 유형하고는 좀 다른 통신망에 대한 직접적인 이런 문제여서 약간 조사에도 시간이 더 소요된 이유이기도 한데요. 지금 현재로서 불법 펨토셀이 인증되지 않는 불법 펨토셀에 의한 망의 침투 가능성은 이번에 여러 조사 과정에서 발견된 그런 보안, 취약점들에 대한 보안 조치 이런 것들로 통해서 더 이상 이런 불법 펨토셀에 의한 망 침투 가능성은 지금 없다고 저는 판단을 하고 있는데요.

그리고 통신, 타 통신사들도 점검을 하고 필요한 조치들을 지금 요청을 했었는데 일단 다른 통신사들의 침해 정황은 그 당시에도 확인하기도 어려웠고, KT의 경우에도 펨토셀 관리와 관련된 인증 관리부터 해서 여러 가지 보안조치들을 통해서 그 시점 이후로 펨토셀에 의한 침투 가능성은 없다고 판단을 하고 있습니다만 지금 계속 망 운영을 통해서 모니터링을 하고 있다는 말씀을 드리겠고요. 그 이후로 일단 모니터링 결과 발생된 그런 의심 정황이나 침투는 없었다는 말씀을 드리겠습니다.

그리고 두 번째, 암호화 관련돼서는 저희가 추가적인, 이따 설명을 해드리면 좋을 것 같은데요. 기본적으로 저희도 이번에 아까 경찰에서도 확인하였습니다만 20개의 불법 ID가 접속한 개인들의, 모든 개인들의 통신 기록을 저희가 확인을 했습니다만 일단 그 불법 ID와 접속한 그런 부분에 있어서 이런 통신의... 통신의 중요하고 덜 중요하고 그런 것들을 좀 하기는 어렵습니다만, 이른바 예를 들어서 정보 요인들이나 그런 중요한, 그런 측면에서의 어떤 위험성이 있는 통신들은 저희가 파악했습니다만 그런 정황은 없는 걸로 판단이 되는데, 이 불법 ID 외에 다른 방식으로 하는 건 좀 차원이 다른 문제일 거 같고요. 아무튼 지금 확인된 20개 ID에 연결된 통신 기록들은 저희가 확인을 했다는 점을 말씀드리겠습니다.

제가 시간관계상 계속 더 답변을 못 드리는 점 양해 부탁드리겠고요. 한 가지 제가 기자분들께도 말씀을 드리고 싶은 거는 지금 연이어서 통신사들이 자꾸 문제가 생기고, 또 이번에 쿠팡 플랫폼 기업에서도 광범위한 개인정보 유출 또는 심각한 침해사고가 발생을 하고 있습니다. 그런데 각 사고마다 책임성이라는 측면에서는 공통된 측면도 있고, 또 문제의 원인과 해결방법은 여러 가지 차별되는 요소들이 있습니다. 또 정부의 조치도 차별적인 그런 조치들이 필요한 부분들이 있었고요.

그래서 제가 많이 받는 질문 중에 이번 KT 건도 영업정지와 관련된 조치가 이루어져야 되지 않느냐는 질문들을 많이 해주고 계신데요. 지난번 사례를 다시 한번 저희가 반추해 보면, 저희가 SK텔레콤에 신규 영업에 대한 영업을 정지하라는 행정지도를 했던 것은 그 당시 유심을 교체해야만 하는, 그러니까 기존 가입자들에 대한 유심을 교체해야 되는 상황에서 SK텔레콤에 저희가 기존 가입자 유심 교체에 우선적으로 집중해서, 왜냐하면 유심 재고가 충분하지 않고 부족한 상황이었다는 게 확인되었기 때문에 그런 조치를 여러 차례 요구를 했습니다만, 그럼에도 불구하고 기존 가입자 유심 교체와 병행해서 신규 가입자들을 모집하는 데 유심을 활용하는 거를 저희가 문제시하고, 기존 가입자들의 유심 교체에 따른 애로사항들이 해소되기 전까지 그런 신규 가입에 유심을 사용하는 것을 정지했던 것이... 정지하라고 했던 것입니다.

그래서 저희가 일반적으로 지금 통신사들에 대한 징벌적인 그런 행정조치로 그런 신규 영업을 중단시킨 그런 점이 아니었다는 점을 말씀드리겠고요. 그래서 이번에 KT도 만약에 동일한 유형의 그런 어떤 사고, 또 대응 방식과 관련돼서 동일한 방식이었고, 또 그런 동일한 패턴을 사업자가 반복했으면 저희들은 당연히 관련된 조치를 동일하게 적용을 했을 것입니다.

그렇지만 이번 KT 사태 때에서는 그런 유심 교체와 관련된 그런 행정지도를 해야만 하는 그런 요소가 확인되지 않았기 때문에 그거를 안 했... 적용을 안 했을 뿐이지 사업자 간의 어떤 처분의 경중이나 또 그런 것들 때문에 저희가 다른 접근 방법을 취하지... 취했다는, 취한 건 아니라는 점을 분명하게 말씀을 드리고 싶습니다.

제가 이 정도, 제가 답변드릴 거는 이 정도로 마치겠고요. 다음으로는 바로 조사단장께서 이어가겠습니다. 감사합니다.

<질문> 이건 경찰청에 해당될 수도 있고 과기정통부에 해당될 수도 있는데 이번에 형사 고발을 KT와 LGU+ 대상으로 하셨는데 CEO까지 이렇게, CEO가 대상인지, 어떤 식으로 고발돼서 누가 책임을 만약에 죄가 있다면 지게 되는지, 그 급이 어떻게 되는지 궁금합니다.

그리고 나머지는 또 아까 사이버 공격 그런 얘기도 했는데 지난번에 10월에 정부의 정보보호 종합대책이 나왔습니다. 그러고 나서도 쿠팡이라든지 KT, LGU+ 다 나오고 있는데 이런 추가적인 사건들로 인해서 그런 것들을 보완할 개선책이라든지 추가되는 대책 그런 것들을 고민하신 게 있다면 말씀 부탁드리겠습니다.

<답변> (최우혁 과기정통부 네트워크정책실장) 첫 번째, 수사 의뢰는 특정인을 특정하는 게 아니라 위계에 의한 공무집행 방해를 갖다가 한 법인과 어떻게 보면 개인도 같이 들어 있을 수가 있는데요. 전체적으로 KT에서 한 행위에 대한 부분이기 때문에 그거는 경찰에서 아마 수사를 갖다가 하시면서 특정이 될 것 같고요.

10월 22일에 종합대책에서 발표드렸던 범정부 종합대책에서 많은 부분들이 점검이 됐든지, 그다음에 소비자 보호에 대한 부분 이런 부분들이 사실은 이제 입법이 되고 진행이 되고 있습니다. 그래서 그런 부분은 조금 추가적으로 봐주시면 좋을 것 같고, 시간이 지난 뒤에 그런 것들이 동작한다는 것 이해해 주시면 감사하겠습니다.

<질문> 안녕하세요? 저는 악성코드에 감염된 것으로 확인된 94대 서버 관련돼서 여쭤보고 싶은데요. 이게 물론 로그 보관 기간이 짧아서 많은 정보를 알 수는 없었다고 하시지만 여기에 평소 어떤 정보가 저장되고 있었는지, 또 어떻게 처리되고 있었는지 궁금하거든요. 여기 지금 발표자료에다가는 일부 감염서버에 이름이나 전화번호, 이메일 등이 저장돼 있었다고 하시는데 여기에 인증키나 통화정보, 문자 로그나 결제정보 이런 건 따로 없었는지 여쭤보고 싶습니다.

<답변> (이동근 KISA 디지털위협대응본부장) 저희가 그 포렌식한... 감염된 서버들 대상으로 저희 포렌식을 진행했습니다. 기자님 말씀해 주신 것처럼 일부 서버 같은 경우에는 개인정보가 저장돼 있는 서버들도 포함이 돼 있었습니다. 그래서 실제 그 정보들이 유출되었는지 흔적을 찾기 위해서 저희가 집중 분석을 했고요.

그런데 앞서도 말씀드린 것처럼 그거를 파악하기 위한 로그가 너무 안 남아 있다 보니까 확정을 못 드렸던 상황이고, 그런 시스템들 안에 있는 정보들 중에는 아까 보도자료에도 있지만 개인의 성명이라든지 일단 그런 전화번호라든지 주소 이런 민감 정보도 포함이 돼 있는 게 있습니다. 그런데 그 부분에 대해서 일단 귀책사유나 이런 부분들은 아마 나중에 추후에 개인정보보호위원회에서도 한 번 더 검토할 예정인 걸로 알고 있습니다.

<질문> (온라인 질의 대독) e-브리핑 통해서 질의한 기자님들도 여러 분 계셔서 한 분만 질의드리겠습니다. MBC 기자입니다. KT의 아이폰은 거의 10년간 암호화 조치 없이 문자가 오간 건데 왜 이런 무방비 상태에 있었던 건지, KT의 입장을 확인하셨나요? 국제표준과 별개로 앞으로는 통신 암호화를 강제하는 방안을 정부가 고려하고 계신가요?

<답변> (이동근 KISA 디지털위협대응본부장) KT가 아이폰에 암호화 적용을 하지 않았던 건 여러 가지 이유가 있었습니다. 통화 품질이라든지 그리고 로밍 시에 어떤 서비스가 단절되거나 장애가 생기는 거에 대한 우려라고 저희한테 설명은 했지만 기본적으로 보안에 대해서는 어떤 간과한 면이 있었던 것 같습니다. 일단 종단 간 암호화가 해제됐을 때 공격자의 위협에 대해서 KT 측에서 간과한 면이 있기 때문에 이런 문제가 발생했던 건이고요.

일단 종단 간 암호에 대해서 KT에서는 기술적으로 강제화하도록 지금 조치가 취해졌습니다. 그래서 종단 간 암호를 지원하는 단말인데 만약에 갑자기 지원하지 않는 모드로 접속하게 되면 확인, 일단은 바로 연결시키는 게 아니라 일단 차단하고 다시 재연결 설정을 하도록 하는 모드로 지금 조치가 되어 있는 상황입니다.

일단 정부에서 이걸 강제로 하는 부분에 대해서는 많이 검토가 필요할 것 같습니다. 표준에 이걸 명확하게 종단 간 암호를 통신사가 주체가 돼서 해야 된다, 라는 게 명시가 안 돼 있다 보니까 이 부분에 대해서는 조금 논의가 필요한 걸로 지금 판단이 됩니다.

<답변> (최우혁 과기정통부 네트워크정책실장) 약간만 부연 설명을 드리면 국제표준이라는 거는 글로벌 로밍까지 염두에 두고서 만들어지는 부분이어서 그 부분은 쉽게 이렇게 단정적으로 결정되기는 좀 어려울 것 같습니다.

<질문> 전 간단한 질문 하나 드릴게요. SKT 같은 경우에 이번 최종 결과가 나왔을 때 오전에 통보를 해서 오후에 이사회를 바로 열어서 위약금 면제 결정까지 바로 이루어졌던 것 같은데 KT는 혹시 언제 통보했는지 여쭤보고 싶습니다.

<답변> (최우혁 과기정통부 네트워크정책실장) 지금 이 상황으로 지금 같이 통보가 되고 있는 것으로 저는 알고 있습니다.

<질문> 지금 죄질로 보면 KT나 LGU+가 훨씬 더 악질적으로 보이는데 이게 지금 처벌로 보면 KT 3,000만 원 과징금 말고는 받는 게 없거든요. 그럼 이 부분에 대해서 우리가 더 추가적으로 처벌을 할 수 있는 게 있는지, 왜냐하면 예를 들어서 KT 같은 경우에는 지금 악성코드가 2025년 7월 4일까지 감염이 됐는데 7월 15일에 고객 안심 브리핑을 했었거든요, 보안 관련돼서.

그리고 LGU+ 같은 경우에는 결국 사고를 다 은폐하고 삭제해서 조사를 불가능하게 만들어서 우리가 파악을 못 하는 건데 파악을 못 하니까 처벌을 안 받는 거거든요. 약간 통신사에게 잘못된 시그널을 줄 수 있는 것 같아서요.

<답변> (최우혁 과기정통부 네트워크정책실장) 제가 거기에 대한 확인된 답을 드리기는 어려울 것 같고요. 공무원이 일할 때는 법을 가지고 일을 합니다. 법상으로 어떤 조치가 가능한지, 법에서 어떤 법 위반사항을 저희가 확인하고 어떤 법이 적용 가능한 건지, 그래서 거기에 따라서 SKT, KT, LG 차례대로 저희가 관련된 법정 조치를 해나가고 있습니다.

<질문> 안녕하십니까? 저 LGU+ 관해서 질문드리고 싶습니다. 익명의 제보자가 제공한 자료가 실제 APPM 서버와 좀 상이하다고 확인을 하셨는데 그런데 또 앞에서 말씀하셨다시피 임직원 성명이나 그런 서버 목록 자료는 또 일치된다는 걸로 확인되었거든요. 구체적으로 어떤 자료가 다른 건지 여쭙고 싶고요.

그리고 그 제보자가 제공한 자료가 불일치하기 때문에 혹시 그 원인을 LG가 고의적으로 서버를 건드렸다고도 보시는지 궁금합니다.

<답변> (이동근 KISA 디지털위협대응본부장) 프랙 보고서에서 공개됐던 APPM 서버가 LG에서는 2개가... 2대가 있었습니다. 액티브하고 스탠바이 2대를 운영하고 있었고요. 그 중에 저희 조사단 쪽에는 1대를 제출했는데 저희는 그 1대가 프랙 보고서에 있는, 공개된 정보와, 그 시스템이라고 일단 생각하고 조사를 했었는데 정밀하게 분석해 봤더니 정보는 맞습니다. LG의 직원의 정보는 맞지만 운영체제라든지 약간 그런 시스템을 특정할 수 있는 정보들이 좀 달랐습니다.

그래서 저희는 이게 그 프랙 보고서에서 공개된 시스템을 우리한테 제출한 게 아니라 다른 백업용 시스템이 있는데 그 시스템을 우리한테 제출한 걸로 판단을 했습니다. 그래서, 그럼 그 2대를 그대로 뒀으면 저희가 조사를 할 수 있는데 1대를 OS를 다 새로 설치해서 추가적으로 저희가 원인 분석을 할 수 없었던 케이스였습니다.

<질문> 안녕하세요? KT 같은 경우에 아이폰 16 이하 일부 단말은 문자가 미암호화됐다고 하는데 그 해당 고객에게 문자가 고지됐는지, 그다음에 갤럭시 등 KT가 유통하는 다른 단말기에 대한 전수조사가 이루어졌는지 궁금하고, 또 16 이하 단말 교체 지원 계획도 있는지 궁금합니다.

<답변> (이동근 KISA 디지털위협대응본부장) 지금 질문하신 그 관련해서 아이폰에 해당돼서는 원래 암호화가 16 이하에서 적용이 안 된 거는 확인이 됐고요. 그리고 K... 갤럭시라든지 다른 단말 같은 경우는 기본적으로는 IP 세... 암호화 설정이 되도록 되어 있는데 일부 직구라고 해야 되나 아니면 해외에서 그냥 들어온 단말 같은 경우에는 그 국가라든지 아니면 그쪽 통신망의 사정에 따라서 좀 설정이 다른 경우들이 있습니다. 그런 단말들도 존재하는 걸로 저희가 확인을 했고요.

기본적으로 국내에서 많이 쓰이는 주력 단말 같은 경우에는, 아까 말씀드린 갤럭시라든가 이런 쪽은 기본적으로는 IPsec 설정을 하도록 되어 있었는데 아까 말씀드린 것처럼 중간에 불법 펨토셀에 의해서 방해가 됐던 케이스라고 보시면 될 것 같습니다.

<질문> 오늘 자료 보면서 조금 헷갈리는 게 있는데 KT 같은 경우 민관합동조사단에 의한 최종 조사 결과와 정부의 조치를 다 기술하신 것 같은데, LG 같은 경우는 지금 조사를 할 수 없다, 까지만 있고 이걸로 지금 끝난 건지가 지금 가장 헷갈려서요. 최종적으로 다시 어떻게 하겠다, 라는 게 있는 건지 아니면 지금 상태로는 더 이상 할 수 없어서 경찰의 수사를 하는 걸로 끝난다는 건지가 좀 궁금, 확인하고 싶습니다.

<답변> (최우혁 과기정통부 네트워크정책실장) KT 같은 경우 조사로서 저희가 확인을 하고 문제가 있는 부분에 대한 조치들을 병행을 했고요. 그다음에 위계에 의해서 공무집행 방해, 조사 방해를 한 부분에 대해서 수사의뢰를 했습니다. 이제 조사단이 더 이상 조사를 못 하는 영역에 대한 부분으로 들어가게 된 거고요.

LG 같은 경우는 저희가 신고가 들어오고, 10월 23일에 신고가 들어오고 난 뒤에 조사를 하고서 더 이상 조사를 진행하는 부분이 더 이상 확인할 게 없기 때문에 똑같이 아까 KT 케이스처럼 수사의뢰로 종료가 된다고 보시면 될 것 같습니다. 수사당국에서 다른 확인된 사항이 있으면 다시 조사를 전환할 수는 있겠지만 지금 현 단계로서는 저희가 더 이상 똑같이 양 케이스에 대해서는 조사를 종료한다는 뜻으로 이해해 주시면 될 것 같습니다.

<질문> ***

<답변> (최우혁 과기정통부 네트워크정책실장) 현재로서는 없습니다, 거기에 대해서는.

<답변> (사회자) 그러면 오늘은 이상으로 브리핑을 마치도록 하겠습니다. 장시간 고생하셨습니다. 감사합니다.

<답변> (최우혁 과기정통부 네트워크정책실장) 감사합니다.

<끝>

이전다음기사