과기정통부, 29일 민관합동조사단 조사 결과 발표
KT 감염서버 94대·악성코드 103종, 2.2만명 개인정보유출
정부 "KT 과실 인정, 전 고객 위약금 면제 적용 가능"
LGU+는 서버 폐기로 조사 불가, "수사의뢰"
KT 감염서버 94대·악성코드 103종, 2.2만명 개인정보유출
정부 "KT 과실 인정, 전 고객 위약금 면제 적용 가능"
LGU+는 서버 폐기로 조사 불가, "수사의뢰"
|
과기정통부는 29일 정부서울청사에서 이 같은 내용의 조사 결과를 발표했다. KT와 LG유플러스는 지난 9월 8일과 10월 23일 각각 한국인터넷진흥원(KISA)에 사이버 침해 사고를 신고했다. 과기정통부는 양사 신고가 접수된 다음날부터 각각 조사단을 구성하고 피해 현황과 사고 원인 등을 조사해왔다. KT의 경우 3만3000대의 전 서버를 대상으로, 6차례에 걸쳐 악성코드 감염 여부 등 정밀분석을 실시했다. 그 결과 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출된 사실을 확인했다. 앞서 KT가 산출한 피해 규모와 일치하지만, 통신결제 관련 데이터가 남아있지 않은 지난해 7월 31일 이전에 대해선 추가 피해 여부를 확인하지 못했다.
조사단에 따르면 KT 서버 94대가 악성코드 103종에 감염됐다. 지난해 3~7월 정부에 신고 없이 자체 조치한 감염 서버는 41대, 조사단 포렌식 과정을 통해 발견한 감염 서버는 53대다. 최광기 과기정통부 사이버침해대응과장은 "불법 펨토셀을 포렌식 분석한 결과, KT망 접속에 필요한 KT 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐가는 트래픽을 캡쳐해 제3의 장소로 전송하는 기능이 있음을 확인했다"며 "악성코드의 경우 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 확산시킨 것으로 추정된다"고 설명했다.
조사단은 KT에 '펨토셀 관련 보안정책 마련', '분기별 1회 이상 보안 취약점 점검', '거버넌스 체계 개편' 등을 재발방지 대책으로 제시했다. 현재 피해 고객 대상의 위약금 면제 조치도 확대 가능성을 시사했다. 과기정통부에 따르면 5곳의 법률 자문기관 중 4곳이 이번 침해 사고를 KT 과실로 판단했다. KT 측은 "조사 결과 발표를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표하겠다"고 밝혔다.
LG유플러스의 경우 개인정보유출이 추정되는 서버 일부가 운영체제(OS) 업그레이드 등 조치로 침해 흔적을 확인할 수 없었다. 협력사를 통한 해킹 의혹 역시 주요 서버의 OS를 재설치하거나 폐기해 조사가 불가능했다. 이에 조사단은 위계에 의한 공무집행 방해로 지난 9일 경찰청에 수사의뢰했다. 과기정통부는 이와 유사한 사유로 지난 10월 KT에 대한 수사도 의뢰한 상태다. LG유플러스 측은 조사 결과와 관련해 "경찰 수사에 성실히 임하겠다"고 밝혔다.
양사 안팎에선 주무부처 처벌 수위에 촉각을 곤두세우는 분위기다. 올해 4월 대규모 유심 해킹 사고가 발생한 SK텔레콤의 경우 개인정보보호위원회로부터 역대 최대 규모인 1348억원의 과징금 처분을 받은 바 있다. 더욱이 정부가 전체 매출의 10%까지 과징금을 매길 수 있는 '징벌적 과징금' 추진에 속도를 내면서 긴장감이 커지고 있다. 이날 과기정통부는 KT의 신고 지연 등에 대해 3000만원의 과태료 부과를 예고했다. 정치권와 시민단체 등에서도 처벌 수위를 높여야 한다는 목소리가 잇따르고 있다. 서울YMCA 시민중계실은 최근 성명을 통해 "정부가 조사 결과 발표 이후 충분한 기간 KT 전체 이용자 위약금 면제 등 체감할 수 있는 이용자 보호조치를 이끌어야 한다"며 "총체적 보안 문제가 해소될 때까지 신규 영업정지도 행정지도해야 한다"고 지적했다.
