"'보안 관리 부실' KT 위약금 면제 책임…LGU+은 경찰 수사"(종합)

KT의 펨토셀 보안 관리 부실로 인한 침해사고 과실이 인정되면서 위약금 면제 조치가 예고됐다. KT 해킹 사고 규모는 악성코드의 종류와 개수, 감염 범위에서 SK텔레콤보다 광범위하게 나타났다.

과학기술정보통신부 민관합동조사단은 29일 정부서울청사에서 이 같은 내용의 KT·LG유플러스 침해사고 최종 조사 결과를 발표했다.

조사 결과 KT는 94대의 서버에서 BPF도어, 루트킷 등 103종의 악성코드 감염이 확인됐다. 소액결제 금전 피해도 2억4000여만원으로 집계됐다. 이는 28대 서버에서 BPF도어 계열 27종을 포함해 총 33종의 악성코드 감염이 확인된 SK텔레콤보다 더 광범위했다.

가시적인 개인정보 유출 규모는 SK텔레콤이 더 컸다. SK텔레콤은 2300만명이 넘는 가입자 대부분의 전화번호와 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 개인정보가 유출됐다. 반면 KT는 2만2000여명의 IMSI, 단말기식별번호(IMEI), 전화번호 등이 유출된 것으로 파악됐다. 다만 KT는 서버의 시스템로그 보관 기간이 1~2개월에 불과해 그 외 기간에 유출 여부는 확인할 수 없었다고 조사단은 설명했다.

당국은 두 사건에서 BPF도어 악성코드라는 유사성이 발견된 만큼 동일 공격 배후일 가능성을 염두에 뒀다. 류제명 과기정통부 제2차관은 이날 브리핑에서 "공격 패턴이나 내부 기술적 분석에서 두 회사 간 유사성이 있다고 판단되지만, 동일한지 단정 짓기에는 한계가 있다"고 말했다.

일부에서는 중국 정부 주도의 해킹그룹에서 BPF도어 악성코드를 만들어 해킹을 대대적으로 벌이고 있다는 지적이 나온다. 이에 대해 류 차관은 "글로벌 보안 커뮤니티에서의 통설이지만, 어떤 국가 기관이나 인증 기관에 의한 공식적인 확인은 아니다"라며 "공격 시점 등을 봤을 때 국가 배후의 공격인지, 오픈소스화된 이후의 공격인지 단정하기 어렵다"고 선을 그었다.

조사 결과에 따라 KT는 위약금 면제 조치를 적용받게 됐다. SK텔레콤 때와 마찬가지로 KT 이용자들도 약정기간과 무관하게 위약금 없이 통신사를 변경할 수 있다는 의미다. 전체 이용자를 대상으로 하기 때문에 피해가 확인되지 않은 경우도 가능하다.

조사단은 이번 침해사고에서 KT의 과실이 발견된 점, KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때 위약금 면제의 귀책 사유가 회사에 있다고 판단했다. 이용약관은 '회사 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제한다'고 명시하고 있다.

류 차관은 "KT가 소비자와 국민 눈높이에 맞춰 소급 적용 시점·기간을 적절히 판단할 것으로 기대한다"고 말했다. 이어 "통신사와 플랫폼 기업 등의 침해사고는 원인과 해결 방법에서 차별되는 요소가 있다"며 "사업자별로 처분 경중이나 접근 방법을 달리한 게 아니다"라고 설명했다.

KT는 정부 발표 직후 "조사 결과를 엄중히 받아들여 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표하겠다"고 전했다.

한편, LG유플러스는 침해사고 관련 허위 자료 제출과 서버 폐기 정황으로 경찰 수사를 받는다. 조사단은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보의 실제 유출을 확인했으나, 익명의 제보자가 제공한 자료와 회사가 제출한 자료가 서로 다르다는 사실을 파악했다. 해킹 매개체로 지목된 협력사 직원 노트북과 네트워크 경로 역시 추적이 어려운 상황이다,

정부는 LG유플러스의 행위가 부적절한 조치라고 보고, 지난 9일 위계에 의한 공무집행방해 혐의로 경찰 수사를 의뢰했다. 향후 수사 결과에 따라 신규 영업 제한과 위약금 면제 조치까지 확대될 가능성도 있다.