과학기술정보통신부는 12월 29일 KT·LGU+ 침해사고 민관합동조사단 최종 결과를 발표하고, KT의 펨토셀 관리 부실로 전체 이용자가 위험에 노출됐다고 판단해 약관상 위약금 면제 규정 적용이 가능하다고 밝혔다.

불법 펨토셀에 의한 침해사고

과기정통부에 따르면 KT 사고는 불법 펨토셀이 내부망에 접속해 이용자 정보를 탈취하고 소액결제로 이어진 것이 핵심이다. 조사단은 경찰 압수물 포렌식과 KT 테스트베드 검증, KT 전체 서버 약 3만3000대 점검을 통해 2만2227명의 IMSI·IMEI·전화번호 유출과 368명(777건) 무단 소액결제 피해 2억4300만원을 확인했다.

악성코드 감염도 확인됐다. 조사단은 총 94대 서버에서 BPFDoor·루트킷 등 악성코드 103종을 확인했으며, KT가 2024년 3~7월 감염서버를 발견하고도 신고 없이 자체 조치한 서버가 41대였다고 밝혔다. 다만 로그 보관 기간이 1~2개월에 그치는 등 기본 보안체계 미비로, 로그가 남지 않은 기간의 유출 여부는 확인이 불가능했다고 설명했다.

사고 원인으로는 펨토셀 보안 관리 부실이 지목됐다. 모든 펨토셀에 동일 제조사 인증서를 사용하는 구조, 인증서 유효기간 10년, 비정상 IP 차단·형상정보 검증 미흡 등으로 불법 펨토셀이 “언제, 어디서든” KT망 접속이 가능했다고 과기정통부는 판단했다. 일부 단말(아이폰 16 이하)에서 암호화 설정 미지원 문제도 확인돼 조치가 이뤄졌다고 덧붙였다.

과기정통부는 KT 이용약관의 ‘회사 귀책 사유’에 해당할 수 있다고 결론 내렸다. 조사 결과 KT 과실이 확인됐고, 안전한 통신서비스 제공이라는 계약상 주된 의무를 다하지 못해 전체 이용자가 평문 문자·음성 탈취 위험에 노출됐다는 이유다.

통신사의 통신 암호화 체계

KT에는 펨토셀 보안관리 강화, 암호화 설정 강화, 방화벽·EDR 도입 확대, 로그 1년 이상 보관, CISO 중심 거버넌스 확립 등의 이행계획 제출과 이행점검이 예고됐다.

법 위반에 따른 제재도 추진된다. 과기정통부는 KT의 침해사고 신고 지연·미신고에 대해 과태료를 부과할 예정이며, 서버 폐기 시점을 허위 제출하고 백업 로그 존재를 늦게 보고한 정황은 “위계에 의한 공무집행방해”로 수사를 의뢰했다고 밝혔다.

LGU+ 건은 익명 제보로 시작된 자료 유출 정황을 확인하는 과정에서, 제출자료가 제보 내용과 상이하고 관련 서버가 OS 재설치 또는 폐기돼 조사가 불가능했다고 발표했다.

조사단은 KISA가 침해사고 정황을 안내한 뒤(7월 19일) 서버 재설치·폐기 등이 이뤄진 점을 부적절한 조치로 보고, LGU+에 대해 공무집행방해 혐의로 수사를 의뢰했다.

배경훈 부총리는 “이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했다.

이어 “정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침되어야 한다는 점을 인식하고 정보보호 역량을 고도화하는데 최선을 다하겠다”고 밝혔다.