"펨토셀 인증·보안 관리 미흡, 약관상 면제 사유 판단"
경찰, 소액결제 범죄 조직 13명 검거…상선 국제공조 수배
[서울=뉴스핌] 양태훈 기자 = 정부가 KT 침해사고와 관련해 KT의 과실과 계약상 주된 의무 위반을 인정하고, 전체 이용자를 대상으로 이용약관상 위약금 면제 규정을 적용할 수 있다는 결론을 내렸다. 불법 펨토셀로 통신 암호화가 해제되면서 일부 이용자에게 소액결제 피해가 발생했고, KT 전체 이용자가 통신 안전성 훼손 위험에 노출됐다는 것이 정부 설명이다.
류제명 과학기술정보통신부(이하 과기정통부) 제2차관은 29일 정부서울청사에서 열린 브리핑에서 "이번 침해사고는 단순한 보안 사고를 넘어 국민의 금전적 피해가 실제로 발생했고, 공격 방식 역시 면밀한 기술 분석이 필요한 중대한 사안으로 판단했다"며 "정부는 사고의 성격과 파급력을 고려해 엄정하고 철저한 조사와 투명한 공개를 원칙으로 조사에 임했다"고 강조했다.
과기정통부에 따르면 민관합동조사단의 조사 결과 KT 침해사고와 관련해 불법 펨토셀에 접속한 이용자 2만2천227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐으며, 368명이 무단 소액결제로 약 2억4천300만원의 금전 피해를 입은 것으로 확인됐다.
류 차관은 "KT가 보유·관리해야 할 펨토셀 전반에 대한 보안 관리가 부실해 등록되지 않은 불법 펨토셀이 내부망에 접속할 수 있었고, 이 과정에서 통신 암호화가 해제돼 인증 정보가 평문으로 공격자에게 노출되는 문제가 확인됐다"며 "이는 이용자 단말기와 KT 내부망 간 통신이 안전하게 보호돼야 한다는 전제를 무너뜨린 것"이라고 말했다.
정부는 이 같은 구조적 취약으로 인해 일부 지역에서 실제 소액결제 피해가 발생했을 뿐 아니라, KT 전체 이용자가 문자·음성 통화 탈취 위험에 노출됐던 상황으로 판단했다고 밝혔다.
KT 서버 보안 실태와 관련해 조사단은 KT 전체 서버 약 3만3천대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 점검한 결과, 94대 서버에서 BPFDoor와 루트킷 등 103종의 악성코드 감염을 확인했다. 이 가운데 41대 서버는 KT가 2024년 3월부터 7월까지 정부에 신고하지 않고 자체적으로 조치한 사실이 확인됐다.
외부 보안업체 점검 과정에서 침해 흔적이 발견된 서버와 연계 서버에 대한 추가 포렌식에서는 53대 서버에서 루트킷·백도어·디도스 공격형 등 77종의 악성코드가 확인됐다. 일부 서버에는 이름과 전화번호 등 개인정보가 저장돼 있었으나, 로그가 남아 있는 기간에는 유출 정황이 확인되지 않았다고 정부는 밝혔다. 다만 KT의 로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 방화벽 등 보안장비가 충분히 갖춰지지 않아, 로그가 남아 있지 않은 기간에 대해서는 유출 여부를 확인하는 데 한계가 있었다고 설명했다.
조사단은 KT가 지난 10월 17일 발표한 불법 펨토셀 관련 피해 규모 산출 방식에 대해서도 검증을 진행했으며, 피해 규모 산출에는 문제가 없다고 판단했다. 다만 통신 결제 데이터가 남아 있지 않은 2024년 7월 31일 이전 기간에 대해서는 추가 피해 여부를 확인할 수 없었다고 밝혔다.
류 차관은 위약금 면제 판단의 근거에 대해 "조사 결과 KT는 펨토셀 인증서 관리, 외주 제작사 보안 관리, 비정상 IP 접속 차단, 제품 형상 정보 검증 등 기본적인 보안 조치 과정에서 명백한 문제점을 드러냈고, 이 과정에서 정보통신망법 위반 사실도 확인됐다"며 "이는 안전한 통신서비스를 제공해야 할 사업자의 주의의무를 다하지 못한 것"이라고 말했다.
또 "통신서비스는 국민 일상 전반의 기반이며, 이용자는 사업자가 적절한 보호 조치를 취할 것이라는 신뢰를 전제로 계약을 체결한다"며 "이번 침해사고는 KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 사례"라고 강조했다.
이에 정부는 이번 사안이 KT 전체 이용자를 대상으로 이용약관상 위약금 면제 규정을 적용할 수 있는 회사의 귀책 사유에 해당한다고 판단했다. 류 차관은 이와 관련해 "정부가 판단하는 것은 약관상 면제 사유 해당 여부까지"라며 "위약금 면제의 소급 시점과 적용 기간, 실제 운영 방식은 KT가 소비자와 국민 눈높이에 맞춰 판단할 사안"이라고 밝혔다.
LG유플러스에 대해서는 익명 제보를 토대로 조사가 진행됐으나, 관련 서버의 운영체제(OS) 재설치 또는 폐기 등으로 침해 경위와 범위를 확인하는 데 한계가 있었다고 정부는 설명했다. 이에 과기정통부는 해당 조치가 침해 정황 안내 이후 이뤄진 점을 고려해 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다고 밝혔다.
이날 브리핑에서는 경찰의 수사 결과도 함께 공개됐다. 경기남부경찰청 사이버수사과는 2025년 8월 5일부터 9월 5일까지 경기 광명과 서울 금천 등 9개 지역에서 KT 이용자 227명의 휴대전화로 모바일 상품권이 무단 구매돼 약 1억4천만원 상당의 소액결제 피해가 발생했다고 밝혔다.
이정수 경기남부경찰청 사이버수사과장은 "불법 펨토셀 등 장비 운영에 관여한 피의자와 상품권 현금화, 대포 유심 제공에 가담한 인원 등 총 13명을 검거했고, 이 중 5명을 구속 송치했다"며 "범행을 총괄한 상선 1명에 대해서는 인터폴 적색수배 등 국제 공조 수사를 요청했다"고 말했다.
경찰이 확보한 불법 펨토셀을 분석한 결과, KT 인증서 개인 키와 서버 IP, 통신 트래픽을 외부로 전송하는 기능이 확인됐다. 해당 인증서는 2019년 경기 북부 군부대에 설치됐다가 2020년 막사 이전 과정에서 유실된 펨토셀 인증서로 파악됐다.
한편 정부는 KT와 SK텔레콤에서 발견된 BPFDoor 악성코드 공격과 관련해 기술적 유사성은 확인됐으나 동일한 공격자에 의한 것인지는 단정하기 어렵다는 입장을 밝혔다. 종단 암호화 해제 역시 암호화된 통신을 직접 해독한 것이 아니라, 암호화 설정 과정에서 불법 펨토셀이 개입해 암호화가 이뤄지지 않은 구조적 취약점이 악용된 결과라고 정부는 설명했다.
dconnect@newspim.com
