과학기술정보통신부(과기정통부)는 KT, LGU+ 침해사고에 대한 민관합동조사단의 조사 결과 및 KT의 이용약관상 위약금 면제 규정에 대한 검토 결과를 29일 발표했다. 과기정통부는 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 사유에 해당한다고 판단했다.

지난 9월 8일, KT는 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고, 한국인터넷진흥원(KISA)에 침해사고를 신고한 바 있다. 이에 과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 조사단을 구성해 피해현황 및 사고원인 등을 조사했다.

조사단은 ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출사고, ▲익명의 제보에 따른 KT 인증서 유출 정황(프랙보고서, 8.8), ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고원인 분석 및 재발방지 대책을 마련했다.

조사단은 KT가 지난 10월 17일에 발표한 피해 규모에 대한 산출 방법의 적절성 및 산출과정에서의 피해 누락 여부 등의 검증을 거쳐, 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해가 발생했음을 확인했다.

이는 KT가 산출한 피해 규모와 일치했다. 다만, 통신결제 관련 데이터가 남아있지 않은 기간, 즉 지난해 7월 31일 이전에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다고 과기정통부는 설명했다.

정보유출과 관련해, 조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장돼 있으나, 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다. 다만, KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영하여 로그 분석에 한계가 있었으며, 로그기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 게 불가능했다.

과기정통부는 이번 조사단의 조사결과를 토대로, KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출토록 하고, KT의 이행 여부를 점검할 계획이다.

한편 KT 이용약관은 ʽ기타 회사의 귀책 사유ʾ로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.

KT는 안전한 통신서비스 제공을 위한 펨토셀 관리와 관련하여 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했으므로, 과기정통부는 이번 침해사고에서 KT의 과실이 있는 것으로 판단했다.

결론적으로, 과기정통부는 ①이번 침해사고에서 KT의 과실이 발견된 점 ②KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.

배경훈 부총리는 “이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다” 고 강조했다.

송원근 기자