정부 ‘해킹 책임’ KT에 전 이용자 위약금 면제 권고

침해사고 최종 조사 결과 발표 서버 94대 악성코드 103종 감염 무단 결제 368명 피해액 2.4억원 LGU+ 공무집행 방해 수사 의뢰
정부가 KT 해킹 사태와 관련, KT가 전체 이용자를 대상으로 위약금 면제에 나설 것을 촉구했다. 이번 사태가 KT의 총체적인 보안 조치 미흡에서 비롯됐다는 결론을 내린 것이다.

29일 서울 종로구 정부서울청사에서 과학기술정보통신부 주관으로 KT·LGU+ 침해사고 조사 결과 브리핑이 열리고 있다. 연합뉴스 과학기술정보통신부는 29일 정부서울청사에서 발표한 KT·LG유플러스 침해 사고 최종 조사 결과에서 이같이 밝혔다.

KT는 민관합동조사단 점검 결과, 총 서버 3만3000대 중 94대가 BPF도어 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 사상 최악의 통신사 해킹 사건으로 지목된 SK텔레콤 사건의 경우 서버 88대가 악성코드 33종에 감염됐었는데, KT의 감염 규모가 더 광범위한 것으로 나타났다.

서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 발생한 피해는 중간 조사 결과와 동일했다. 전화번호 탈취 피해를 본 이용자는 2만2227명, 무단 소액결제 피해자는 368명, 피해액은 2억4300만원이었다.

과기정통부는 이번 침해 사고가 KT 이용약관상 위약금 면제 규정에 해당하며, 면제 대상 또한 일부가 아닌 전체 이용자에 해당한다고 봤다. 조사단이 조사 결과를 바탕으로 로펌 등 5개 기관에 법률 자문을 진행한 결과, 4곳에서 KT의 과실이 인정된다고 판단했다.

과기정통부는 LG유플러스에 대해선 조사단 조사를 방해했다고 보고 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다. LG유플러스가 7월19일 당국으로부터 침해 사고 정황을 안내받은 뒤 관련 서버 운영체계(OS)를 재설치하거나 폐기한 사실이 드러나서다. 조사단은 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 서버 계정정보 및 임직원 성명 등이 실제 유출된 것을 확인했지만, LG유플러스의 조치로 구체적인 침해 내용은 확인할 수 없었다.

이동수 기자 ds@segye.com