정부가 KT 침해사고와 관련해 KT 과실이 발견된 점과 KT가 계약상 주된 의무를 다하지 못한 점 등을 고려해 위약금 면제 규정 적용이 가능하다고 판단했다. 

과학기술정보통신부는 KT와 LG유플러스 침해사고에 대한 민관합동조사단 조사 결과, KT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 29일 발표했다. 

KT는 펨토셀 보안 관리를 통해 전체 이용자에게 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 판단했다. 

LG유플러스는 허위자료 제출 및 서버폐기 등으로 인해 확인이 불가능한 바, 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다고 밝혔다. 

◆ KT 침해사고 조사 결과 

지난 9월 8일 KT는 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고, 한국인터넷진흥원에 침해사고를 신고했다. 

이에 과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 다음날인 9일 조사단을 구성해 피해현황 및 사고원인 등을 조사했다. 

먼저 불법 펨토셀로 인한 침해사고로 2만 2227명의 가입자 식별번호·단말기 식별번호·전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억 4300만 원 규모의 피해가 발생했음을 확인했다. 

다만 통신결제 관련 데이터가 남아있지 않은 기간인 2024년 7월 31일 이전에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다. 

조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 'BPFDoor'와 '루트킷' 등 악성코드 103종이 감염됐음을 확인했다. 

확인된 악성코드 정보는 피해확산 방지를 위해 백신사·경찰청·국정원 등 주요 민간·공공기관에 즉시 공유하고, 악성코드 점검 가이드를 보호나라 누리집(www.boho.or.kr)을 통해 배포했다. 

한편 조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식으로 분석해 사고 원인을 파악했다. 

조사단은 이번 조사를 통해 KT의 정보보호 체계에 문제점을 발견하고 재발방지 대책을 마련하고, 이를 조치토록 했다. 

먼저 KT는 제조사가 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책을 마련해야 한다. 

펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 탐지·차단 등 기술적 조치도 취해야 한다. 

아울러 펨토셀 보안 취약점 발굴·조치를 위한 화이트해커와의 협력 등 지속적 관리체계를 구축·운영해야 한다.

통신 암호화의 경우 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화해야 한다. 

KT는 또 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지·분석하는 도구(EDR)와 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기점검 및 제거 등 보안관리 강화를 해야 한다. 

펨토셀 인증 및 제품등록을 관리하는 시스템에 방화벽 등 보안장비를 도입하고, 운영 시스템에 대한 로그기록을 최소 1년 이상 보관하며 중앙 로그 관리 시스템을 구축해 모니터링해야 한다. 

정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하고, 전사 차원의 중장기 보안 업무계획도 수립해야 한다. 

조사단은 KT의 자산 이력이 체계적으로 관리되지않고 있으며 시스템 내 등록된 자산과 실물 간 정보도 불일치함을 확인한 바, 전사 자산을 담당하는 정보기술 최고책임자(CIO)를 지정하고 정보기술 자산관리 솔루션을 도입해야 한다고 밝혔다. 

더불어 펨토셀 도입 단계부터 납품, 구축·운영단계 등 모든 과정에서의 하드웨어와 소프트웨어 공급망 보안 관리체계를 수립하고 관리해야 한다.

과기정통부는 이와 함께 KT의 법 위반에 따른 제재 조치도 취할 계획이다.  

먼저 정보통신망법에 따라 침해사고가 발생하면 이를 인지한 후 24시간 이내 신고해야 하나 KT는 발생 사고에 대해 지연신고를 하거나 신고 자체를 하지 않았기에 정보통신망법에 따라 과태료를 부과할 예정이다.

이밖에도 정부 조사를 방해하기 위한 고의성이 있다고 판단되어, 형법 제137조에 따라 지난 10월 2일 수사기관에 수사를 의뢰했다. 

한편 과기정통부는 이번 조사단의 조사결과를 토대로, KT에 재발방지 대책에 따른 이행계획을 내년 1월에 제출토록 하고, 이후 KT의 이행 여부를 점검할 계획이다. 

이후 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령하고, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진한다. 

한편, 과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부 검토를 위해 법률 자문을 진행했으며, 침해사고에서 KT 과실 여부와 전체 이용자에게 통신서비스를 제공(계약상)하는데 있어 주된 의무를 위반했는지 여부를 중점적으로 판단했다. 

이 결과 KT는 펨토셀 관리 전반이 부실해 불법 펨토셀이 언제, 어디서든 KT 내부망에 접속할 수 있었고 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했던 사실이 확인이 됐다. 

또한 통신과정에서 이용자 단말기와 KT 내부망 사이 구간의 송·수신 되는 정보는 종단 암호화가 이뤄졌어야 하나 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인됐다. 

결론적으로, 과기정통부는 ▲이번 침해사고에서 KT의 과실이 발견된 점 ▲KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다. 

◆ LG유플러스 침해사고 조사 결과 

KISA는 지난 7월 18일 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, 다음날 LG유플러스에 관련사항을 공유하며 침해사고 신고를 안내했다. 

이에 과기정통부는 자체 조사단을 구성해 8월 25일부터 LG유플러스의 현장 조사를 실시했고, 이후 LG유플러스가 10월 23일 KISA에 침해사고를 신고한 후 조사단을 구성·운영했다. 

이 결과 익명의 제보자가 유출되었다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보는 조사결과 실제 LG유플러스에서 유출된 것으로 확인됐다. 

특히 조사단은 LG유플러스의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 후에 이루어진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다. 

배경훈 부총리는 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다. 

그러면서 "정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침되어야 한다는 점을 인식하고 정보보호 역량을 고도화하는데 최선을 다하겠다"며 "국민들이 혁신적인 AI 서비스를 안심하고 누릴 수 있는 환경을 만들도록 노력하겠다"고 강조했다. 

문의 : 과학기술정보통신부 사이버침해대응과(044-202-6461), 과학기술정보통신부 통신이용제도과(044-202-6626), 한국인터넷진흥원 위협분석단(02-405-4830)