박유진기자
연합뉴스
KT의 펨토셀 해킹 사고와 관련해 정부가 이용자 위약금 면제가 가능하다는 공식 판단을 내렸다. 불법 펨토셀 접속을 허용한 구조적 관리 부실이 확인된 데다, 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반했다는 법률자문 결과가 근거로 제시됐다.
과학기술정보통신부는 29일 KT 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표하고, KT 이용약관상 '회사 귀책 사유'에 해당해 위약금 면제 규정 적용이 가능하다고 판단했다고 밝혔다.
조사단은 이번 사고와 관련해 KT 전체 서버 약 3만3000대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 점검했으며, 감염이 확인된 서버에 대해서는 포렌식 등 정밀 분석을 통해 정보 유출 등 피해 발생 여부를 확인했다.
또 KT가 지난해 10월17일 발표한 피해 규모에 대해서도 산출 방식의 적절성과 피해 누락 여부를 재검증한 결과, 불법 펨토셀로 인해 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 총 2억4300만원의 피해를 입은 사실을 확인했다. 이는 KT가 자체 산출한 수치와 일치했다. 다만 통신결제 관련 데이터가 남아 있지 않은 2024년 7월31일 이전 기간에 대해서는 추가 피해 여부를 확인할 수 없었다고 조사단은 밝혔다.
사고 원인 분석 결과, 불법 펨토셀 자체가 KT 내부망에 접속할 수 있었던 구조적 허점이 드러났다. 경찰이 확보한 불법 펨토셀을 포렌식 분석한 결과, 해당 장비에는 KT망 접속에 필요한 인증서와 인증서버 IP 정보가 저장돼 있었고, 해당 셀을 거치는 통신 트래픽을 제3의 장소로 전송할 수 있는 기능이 포함돼 있었다.
공격자는 KT의 펨토셀 인증서와 서버 IP 정보를 복사해 내부망에 접속한 뒤 불법 펨토셀의 전파를 방출하게 해 정상 기지국에 연결된 이용자 단말을 강제로 불법 펨토셀에 붙게 했다. 이를 통해 피해자의 전화번호, IMSI, IMEI 등을 탈취했고, 이 정보에 미상의 경로로 확보한 개인정보를 결합해 피해자를 선별한 뒤 상품권 구매 사이트에서 ARS·SMS 인증 정보를 가로채 무단 소액결제를 한 것으로 조사됐다.
조사단은 이 과정에서 KT의 정보보호 체계 전반에 문제점이 있었다고 판단했다. 펨토셀 제조·도입 단계에서 인증서, 서버 IP, 셀ID 등에 대한 보안정책이 부재했고, 불법 펨토셀 접속을 탐지·차단하는 체계도 미흡했다는 것이다.
이에 따라 조사단은 ▲펨토셀 시큐어 부팅 기능 구현 ▲인증서버 IP의 주기적 변경과 대외비 관리 ▲이상 트래픽 모니터링 강화 ▲화이트해커와의 협력을 통한 취약점 발굴 등 기술적·관리적 재발방지 대책을 KT에 요구했다. 또한 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 하고, 비정상 신호 트래픽에 대한 상시 모니터링 체계를 구축할 것도 주문했다.
아울러 펨토셀 인증·등록 시스템에 방화벽 등 보안장비를 도입하고, 운영 시스템 로그를 최소 1년 이상 보관하며, 중앙 로그 관리 체계를 마련하도록 했다. 정보보호 거버넌스 측면에서는 정보보호최고책임자(CISO)가 전사 보안 정책을 총괄할 수 있도록 조직을 개편하고, 중장기 보안 계획을 수립할 것을 요구했다. 전사 자산 관리 강화를 위해 정보기술최고책임자(CIO) 지정과 자산관리 솔루션 도입, 펨토셀 공급망 전반에 대한 보안 관리 체계 구축도 재발방지 대책에 포함됐다.
법 위반 사항도 확인됐다. KT는 무단 소액결제 이상 징후를 지난 9월5일 인지하고도 8일에야 침해사고를 신고했으며, 외부 보안업체 점검에서 침해 흔적이 확인된 이후에도 신고가 지연됐다. 2024년 BPF도어 등 악성코드를 발견하고도 신고하지 않은 사실도 확인됐다. 이에 따라 정부는 정보통신망법에 따라 최대 3000만원 이하의 과태료를 부과할 방침이다.
이 같은 조사 결과를 토대로 과기정통부는 법률자문 5곳을 거쳐 위약금 면제 규정 적용 여부를 검토했다. 그 결과 4개 법률자문 기관이 KT의 펨토셀 관리 부실을 '안전한 통신서비스 제공'이라는 계약상 주된 의무 위반으로 판단했고, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.
과기정통부는 "불법 펨토셀이 언제, 어디서든 KT 내부망에 접속할 수 있었고 종단 암호화 해제까지 가능했던 점을 고려하면, 위험은 일부 피해자에 국한되지 않고 KT 전체 이용자가 노출됐던 문제"라며 "이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사 귀책 사유에 해당한다"고 밝혔다.