SBS Biz

 
정부가 지난 9월 발생한 KT 무단 소액결제 사건에 대해 "KT의 귀책 사유"라면서 통신사를 옮기는 고객의 위약금을 면제해야 한다는 최종 결론을 내렸습니다. 이와 관련 KT는 내부 논의 중이라는 입장입니다.



LG유플러스 침해사고와 관련해선 '허위 자료 제출 및 서버 폐기'로 확인이 불가능하다며 경찰청 수사 의뢰로 결론냈습니다.

오늘(29일) 과학기술정보통신부는 정부서울청사에서 'KT·LG유플러스 침해사고 최종 조사결과 발표' 브리핑을 열고 "KT가 이번 침해사고에서 과실이 발견됐고, 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못했기에 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다"라고 밝혔습니다.

앞서 KT는 지난 9월 초 무단소액 결제 사태가 불거지자 내부 점검에 나섰고, KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견한 뒤 정부에 신고했습니다. 이후 민관합동조사단을 꾸린 정부는 원인 파악에 나섰고, 약 4달 만에 최종 조사 결과를 내놨습니다.

94대 서버에 악성코드 103종 감염


조사단은 불법 펨토셀로 인한 침해사고로 2만 2천227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억 4천300억원 규모의 피해가 발생한 점을 확인했습니다. KT가 산출한 피해 규모와 일치하는 수치지만, 작년 7월 31일 이전 통신결제 관련 데이터가 남아있지 않아 추가 피해 여부는 확인하지 못했습니다.

KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염되었음을 확인했습니다. BPFDoor는 중국 국가 배후 해커그룹(Redmenshen)이 만들었다고 알려져 있으며 지난 2022년 5월 대외 공개 후 일반 해커들이 즐겨 사용하고 있습니다.

조사단은 KT가 작년 3월부터 7월 사이 감염서버 41대에서 악성코드 26종이 오염돼 있는 걸 발견했음에도 정부에 신고 없이 자체 조치한 것으로 확인했습니다. 앞서 11월 중간조사 때 43대 감염에서 공격시도만 있었던 2대는 줄었습니다. 조사단은 SK텔레콤 침해사고를 계기로 지난 4월 KT 서버도 조사했지만, 이미 삭제한 뒤라 당시엔 발견하지 못했다고 부연했습니다.

이외에 외부업체 자체 보안점검에서 확인된 침해흔적을 점검한 결과 조사단은 53대 서버에 로트킷 39종, 백도어 36종, 디도스 공격형 2종 등 77종의 악성코드를 확인했습니다.

조사단은 일부 감염서버에 개인정보가 저장돼 있지만, 유출 정황은 발견 못했습니다. 다만 KT의 시스템로그 보관기간이 1~2개월에 불과해 정확한 유출 여부를 확인하기는 불가능했다고 설명했습니다.

"불법 펨토셀 관리 체계 전반적 부실…암호화 과정도 부실"
이번 침해사고의 가장 큰 원인으로는 불법 펨토셀이 지목됐습니다. 조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 해당 펨토셀에 KT망 접속에 필요한 KT 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐가는 트래픽을 캡쳐하여 제3의 장소로 전송하는 기능이 있음을 확인했습니다.

공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사하여 KT 내부망에 접속했고, 불법 펨토셀이 강한 전파를 방출하도록 하여 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했습니다.

다만 실제 무단 소액결제로 이어진 개인정보를 어디서 취득했는지는 규명하지 못했습니다. 조사단은 "공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정한 뒤, 불법 펨토셀로 인증정보를 탈취해 무단 소액결제를 한 것으로 판단된다"라고 했습니다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실하여 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 지적했습니다. 

KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 정상 펨토셀이 아니더라도 내부망의 인증 서버로부터 KT 인증서를 받아 KT망에 접속이 가능했습니다. 또 KT 인증서의 유효기간이 10년으로 설정되어 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수도 있었습니다.

심지어 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았습니다. 또 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공한 것으로 파악했습니다.

조사단은 또 통신 암호화 과정에서도 문제가 있다고 지적했습니다. 통신사의 통신 암호화 체계는 구간과 종단으로 체계화 돼 있는데, KT에서는 통신 과정에서 종단 암호화가 해제되지 않아야 함에도 불구하고, 불법 펨토셀에 의해 암호화가 해제돼 결제 인증정보(ARS, SMS)가 전송될 수 있었다는 겁니다.

특히 아이폰16 이하 단말기의 경우 KT가 암호화 설정 자체를 지원하지 않아 문자 메시지(SMS)가 평문으로 전송되는 문제도 확인됐습니다.

이외에도 KT가 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점과, 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이루어지지 않는 사실을 파악했습니다.

지연신고와 신고 누락에 대해서는 과태료 처분을 할 예정이고, 조사단에 서버 폐기 시점을 허위제출한 점에 대해선 수사 의뢰했습니다.

"KT 귀책 사유 판단…위약금 면제해야"
과기정통부는 KT의 이용약관 39조를 근거로 해당 사고가 ‘회사의 귀책 사유로 인한 계약 해지’에 해당한다고 판단했습니다. KT 전체 이용자가 위약금 면제 대상에 해당한다는 겁니다.

정부는 조사결과를 토대로 총 5곳의 법률 자문을 구했고, 4개 기관에서 "KT의 과실"이라며 "펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다"는 의견을 제시했습니다.

과기정통부는 "기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었으며, 이 과정에서 KT가 정보통신망법을 위반한 사실도 확인했다"라면서 "이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다"라고 설명했습니다.

과기정통부는 이번 조사단의 조사결과를 토대로, KT에 내년 1월까지 재발방지 대책에 따른 이행계획을 제출하도록 하고, 상반기 이행 여부도 점검할 계획입니다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 예정입니다. 

아울러 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진한다는 구상입니다.

"LG유플러스, 서버 폐기로 조사 불가능해 수사의뢰"
한편 오늘 LG유플러스에 대한 최종 조사 결과도 발표됐습니다.

앞서 한국인터넷진흥원(KISA)은 지난 7월 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고 LG유플러스에 통보했습니다. 이후 정부는 자체 조사단을 구성해 8월 25일부터 LG유플러스 현장조사를 진행했습니다. 다만 LG유플러스는 지난 10월 23일에서야 침해사고를 신고했고, 합동조사단이 꾸려져 운영됐습니다.

조사단은 익명의 제보가 사실이었던 것으로 확인했습니다. 통합 서버 접근제어 솔루션(APPM)과 연결된 서버목록, 서버 계정정보 및 임직원 성명 등 정보가 유출된 것으로 파악한 겁니다. 

APPM 서버와 관련해선 업그레이드 작업 등이 이뤄져 침해사고 흔적을 확인할 수 없었고, 침투 경로도 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능했습니다.

조사단은 LG유플러스의 이런 행위가 KISA 통보 이후 이뤄진 점을 고려할 때 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 이달 초 경찰청에 수사의뢰했습니다.

이와 관련 LG유플러스는 "경찰의 조사에 성실히 임하겠다"라고 입장을 냈습니다.

배경훈 부총리는 “이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라면서 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했습니다.