KT·LGU+ '침해사고' 조사 결과 발표무단 소액결제 사태, KT 과실 인정LGU+는 서버 폐기로 확인 불가, 수사 의뢰
정부가 KT '무단 소액결제' 사고와 관련해 이탈 고객에 대한 '위약금 면제' 규정을 적용해야 한다고 유권해석했다. 사고 과정에서 KT 과실이 발견된 데다, 회사가 고객과 계약상 주된 의무도 다하지 못했다고 판단한 결과다.
과학기술정보통신부(이하 과기정통부)는 29일 KT 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과와 함께 이런 내용의 법률 자문 결과를 발표했다. KT 이용약관은 '기타 회사의 귀책 사유'로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.
조사단은 이번 침해 사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부 검토를 위해 5개 기관에 법률자문을 진행했다. 이 가운데 네 곳은 이번 침해 사고를 KT의 과실로 판단했고, 펨토셀 관리 부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 다만 나머지 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 냈다.
과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했고, KT는 침해사고를 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 봤다. 이에 따라 KT 전체 이용자를 대상으로 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 유권해석했다.
앞서 KT는 지난 9월 8일 소액결제 피해자의 통화기록을 분석한 결과 회사에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(이하 KISA)에 침해사실을 신고했다. 과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 조사단을 구성해 피해현황 및 사고원인 등을 조사했다.
조사단은 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300억원 규모의 피해가 발생했음을 확인했다. 이는 KT가 산출한 피해 규모와 일치한다. 다만, 통신결제 관련 데이터가 남아있지 않은 기간(2024년 7월 31일 이전)에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다.
조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식 분석해 사고 원인을 도출했다. 공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 그 후 불법 펨토셀이 강한 전파를 방출하도록 해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했다.
공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정하고, 피해자의 개인정보로 상품권 구매 사이트를 접속함으로써 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 판단된다.
조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염된 사실도 확인했다. 웹셸 및 BPFDoor 악성코드의 경우 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 서버에 웹셸을 업로드하고 BPFDoor 등의 악성코드를 확산시킨 것으로 추정했다. 루트킷, 백도어 등의 악성코드에 대해서는 감염 시점 당시 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단하는 것이 불가능했다.
정보유출과 관련해 조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장돼 있으나, 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다. 다만 KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었으며, 로그기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했다.
조사단은 이번 조사를 통해 KT의 정보보호 체계에 문제점을 발견했다. 펨토셀 보안 관리 부실로 불법 펨토셀의 접속을 쉽게 허용한 점을 비롯해 ▲통신 암호화 해제 ▲정보보호 활동 미흡 등의 문제를 확인했다. 이에 따라 펨토셀 보안관리를 강화하는 한편 ▲통신 암호화 설정 강화 ▲보안장비 도입 및 로그 보관기간 연장 ▲CISO 중심 거버넌스 체계 확립 등 재발방지 대책을 마련했다.
조사단은 LG유플러스의 침해사고에 대한 조사 결과도 함께 발표했다. 앞서 익명 제보자의 침해사고 정황 제보에 대한 사실관계 파악에 나선 것이다. 다만 회사의 허위자료 제출 및 서버폐기 등으로 인해 확인이 불가능했다. 이에 따라 과기정통부는 LG유플러스에 대해 위계에 의한 공무집행 방해로 수사를 의뢰했다.
배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다.
과학기술정보통신부(이하 과기정통부)는 29일 KT 침해사고에 대한 민관합동조사단(이하 조사단)의 조사 결과와 함께 이런 내용의 법률 자문 결과를 발표했다. KT 이용약관은 '기타 회사의 귀책 사유'로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.
);)
과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했고, KT는 침해사고를 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 봤다. 이에 따라 KT 전체 이용자를 대상으로 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 유권해석했다.
앞서 KT는 지난 9월 8일 소액결제 피해자의 통화기록을 분석한 결과 회사에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(이하 KISA)에 침해사실을 신고했다. 과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 조사단을 구성해 피해현황 및 사고원인 등을 조사했다.
조사단은 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300억원 규모의 피해가 발생했음을 확인했다. 이는 KT가 산출한 피해 규모와 일치한다. 다만, 통신결제 관련 데이터가 남아있지 않은 기간(2024년 7월 31일 이전)에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다.
조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식 분석해 사고 원인을 도출했다. 공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 그 후 불법 펨토셀이 강한 전파를 방출하도록 해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했다.
공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정하고, 피해자의 개인정보로 상품권 구매 사이트를 접속함으로써 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 판단된다.
조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염된 사실도 확인했다. 웹셸 및 BPFDoor 악성코드의 경우 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 서버에 웹셸을 업로드하고 BPFDoor 등의 악성코드를 확산시킨 것으로 추정했다. 루트킷, 백도어 등의 악성코드에 대해서는 감염 시점 당시 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단하는 것이 불가능했다.
정보유출과 관련해 조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장돼 있으나, 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다. 다만 KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었으며, 로그기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했다.
조사단은 이번 조사를 통해 KT의 정보보호 체계에 문제점을 발견했다. 펨토셀 보안 관리 부실로 불법 펨토셀의 접속을 쉽게 허용한 점을 비롯해 ▲통신 암호화 해제 ▲정보보호 활동 미흡 등의 문제를 확인했다. 이에 따라 펨토셀 보안관리를 강화하는 한편 ▲통신 암호화 설정 강화 ▲보안장비 도입 및 로그 보관기간 연장 ▲CISO 중심 거버넌스 체계 확립 등 재발방지 대책을 마련했다.
조사단은 LG유플러스의 침해사고에 대한 조사 결과도 함께 발표했다. 앞서 익명 제보자의 침해사고 정황 제보에 대한 사실관계 파악에 나선 것이다. 다만 회사의 허위자료 제출 및 서버폐기 등으로 인해 확인이 불가능했다. 이에 따라 과기정통부는 LG유플러스에 대해 위계에 의한 공무집행 방해로 수사를 의뢰했다.
배경훈 부총리 겸 과기정통부 장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조했다.
관련기사
'무단 소액결제' KT, 11월 온라인 관심도 1위···호감도 '톱'은 SKT
뉴스웨이 임재덕 기자
Limjd87@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
![카카오톡](javascript:void(kakaoLinkShare('정부 "KT 과실로 무단 소액결제...全 고객 위약금 면제해야"', '정부와 조사단은 KT 무단 소액결제 사고가 펨토셀 관리 부실 및 계약상 주요 의무 위반에서 비롯된 과실로 판단하여, 전체 고객에게 위약금 면제 적용이 필요하다는 유권해석을 내렸다. 2만2227명 가입자 정보 유출 및 2억4300억원 규모 피해가 공식 확인됐으며, 통신사 보안 강화 목소리가 커지고 있다.', 'https://nimage.newsway.co.kr/photo/2025/12/12/20251212000007_0640.png', 'https%3A%2F%2Fwww.newsway.co.kr%2Fnews%2Fview%3Fud%3D2025122914090529328'));){kind=link}
댓글