류제명 과학기술정보통신부 2차관이 29일 서울 종로구 정부서울청사에서 KT·LGU 침해사고 최종 조사결과 관련 브리핑을 하고 있다. 뉴스1

정부가 대규모 해킹 사고와 관련해 KT가 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못했다며 전 이용자를 대상으로 위약금 면제 조치를 할 것을 공식 요구했다. KT는 이사회 논의를 거쳐 구체적인 보상안을 곧 발표할 예정이다.

과학기술정보통신부는 29일 정부서울청사에서 KT 침해 사고에 대한 최종 조사 결과를 발표하고 KT가 위약금 면제 대상에 해당한다고 밝혔다. 조사 결과 KT 서버 94대가 악성코드 103종에 감염돼 있었고 통화 정보 유출 가능성도 확인됐다.

민관 합동 조사단이 서버 3만3000대를 6차례 점검한 결과 BPFDoor 루트킷 디도스 공격형 코드 등 악성코드가 대거 발견됐다. 이는 악성코드 33종이 확인된 SKT 해킹 사건보다 감염 범위가 더 넓은 수준이다.

KT는 지난해 3월 감염 서버를 발견하고도 이를 정부에 신고하지 않고 서버 41대에 대해 자체 삭제 조치만 취해 피해 파악이 지연된 것으로 조사됐다. BPFDoor 등 일부 악성코드는 2022년 4월부터 파일 업로드 취약점을 통해 서버에 침투한 것으로 파악됐다.

서버 해킹과 별도로 불법 초소형 기지국인 펨토셀이 KT 통신망에 무단 접속해 국제이동가입자식별정보 IMSI 국제단말기식별번호 IMEI 전화번호 등이 탈취된 피해도 발생했다. 피해 이용자는 2만2227명이며 무단 소액결제 피해자는 368명 피해액은 2억4300만원으로 집계됐다. 다만 지난해 7월31일 이전 피해는 확인이 어려워 추가 피해 가능성은 남아 있다.

조사단은 불법 펨토셀에 KT 인증서와 인증 서버 IP 정보가 저장돼 있었고 통신 과정에서 암호화가 풀리며 ARS SMS 결제 인증 정보는 물론 문자와 통화 내용 유출도 가능했다고 밝혔다. 특히 일부 단말기에는 KT가 암호화 설정 자체를 지원하지 않은 사실도 확인됐다.

과기정통부는 KT의 전반적인 보안 관리 부실이 약관상 위약금 면제 사유에 해당한다고 판단했다. 약관에 명시된 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 규정에 부합하며 통신 내용 유출 위험이 일부 이용자가 아닌 전체 이용자에게 적용된다는 점을 근거로 들었다.

법률 자문을 진행한 5개 기관 중 4곳도 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제가 가능하다는 의견을 제시했다. 과기정통부는 KT가 SKT 사례와 유사한 수준으로 위약금 면제를 적용할 것으로 보고 있다.

류제명 과기정통부 2차관은 “면제 대상과 소급 적용 범위 등에 대해 KT가 소비자 눈높이에 맞는 판단을 할 것으로 기대한다”고 말했다. 통신업계에 따르면 KT는 30일 이사회를 열어 위약금 면제 범위와 고객 보상안을 논의해 발표할 계획이다.

조사단은 재발 방지를 위해 KT에 EDR 백신 등 보안 설루션 확대 도입 분기별 전 자산 보안 점검 최소 1년 이상 로그 보관 중앙 로그 관리 시스템 구축을 요구했다. 아울러 전사 자산을 총괄하는 CIO 지정과 정보기술 자산관리 설루션 도입도 권고했다.

과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고 6월까지 이행 여부를 점검할 방침이다. KT는 “조사 결과를 엄중히 받아들이며 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표하겠다”고 밝혔다.

한편 조사단은 LGU+ 해킹 의혹과 관련해 통합 서버 접근제어 설루션이 해킹돼 서버 목록과 계정 정보 임직원 성명 등이 실제 유출된 사실을 확인했다. 다만 LGU+가 조사 이후 서버 운영체계를 재설치 또는 폐기해 구체적인 침해 내용 확인이 어려워졌다고 보고 과기정통부는 경찰에 수사를 의뢰했다. LGU+는 “경찰 수사에 성실히 임하겠다”고 밝혔다.