SKT·KT 이어 LG유플러스도 정보 유출…통신3사 결국 다 뚫렸다

사진=뉴스1

국내 이동통신 3사가 모두 해킹을 당한 것으로 드러났다. 정부의 조사 결과 SK텔레콤과 KT에 이어 LG유플러스까지 정보가 유출된 정황이 파악되면서다. KT는 전 고객 대상 위약금 면제 사유도 인정됐다. 

29일 정부 민관합동조사단은 KT와 LG유플러스 침해사고 관련 최종 조사결과를 발표했다. KT의 경우 불법 펨토셀로 인해 2만2227명의 IMSI·IMEI·전화번호가 유출됐으며, 이 중 368명에게 약 2억4300만원 규모의 무단 소액결제 피해가 발생했다고 밝혔다. 

함께 이뤄진 KT 전체 서버 점검 결과, 94대 서버에서 BPF도어, 루트킷, 웹셸 등 총 103종의 악성코드가 발견됐지만 KT의 신고 지연과 로그 단기 보관으로 인해 침투 경로와 피해 범위 분석에 큰 한계가 있었다고도 밝혔다. 조사단에 따르면 KT는 운영 중인 시스템의 로그기록 보관기간이 1~2개월에 불과했던 것으로 나타났다. 조사단은 "짧은 로그기록 보관기간 때문에 침해사고 최초 침투시점, 악성코드 감염방법 등 상세한 사고원인 파악을 조사하는 데 난항을 겪었다"고 덧붙였다.

정부는 KT에 펨토셀 인증 구조, 비정상 IP 차단 미흡, 종단 암호화 해제 가능, 보안장비 부재, 자산·공급망 관리 미흡, 과거 침해사고 미신고 등 구조적 정보보호 거버넌스 실패를 지적했다. 재발방지 대책으로는 방화벽 확대, 로그 1년 이상 보관, 최고정보보호책임자(CISO) 권한 강화, 공급망 보안 체계 구축 등 대규모 개선 명령을 내렸다.

사진=뉴스1

이날 KT 위약금 면제 판단도 함께 이뤄졌다. 과학기술정보통신부는 "펨토셀 관리 부실과 통신 암호화 미보호로 인해 KT가 '안전한 통신서비스 제공'이라는 계약상 주된 의무를 위반했다고 봤다"며 "이번 사고를 KT의 ‘회사 귀책사유’로 판단했다"고 밝혔다. 이어 "정보 유출, 소액결제 피해 여부와 관계없이 KT 전체 이용자가 계약 해지 시 이용약관상 위약금 면제 규정을 적용받을 수 있다"는 입장을 내놨다. KT의 수용 여부는 정해지지 않았다.

KT는 침해사고 신고 지연·미신고에 대해 정보통신망법에 따른 3천만원 이하의 과태료를 부과받았다. 이어 서버 폐기 시점 허위 보고, 백업 로그 미제출 등 조사 방해에 대해서는 위계에 의한 공무집행방해 혐의로 이미 수사기관에 수사 의뢰가 이뤄졌다.

KT는 프랙 보고서에 제보된 침해 정황 서버를 8월 1일에 서버를 폐기하였다고 답변했지만 조사 결과 폐기 시점을 허위 제출한 것으로 나타났다. 실제 폐기 시점은 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)로 3차례 걸쳐 이뤄졌다. 또 폐기 서버 백업 로그가 있음에도 불구하고 1개월 뒤인 9월 18일까지 조사단에 보고하지 않은 것도 문제가 됐다.

사진=연합뉴스

LG유플러스는 공무집행방해 혐의로 경찰청 국가수사본부에 넘겨졌다. 허위로 자료를 제출하고 증거가 될 만한 서버를 폐기하고 운영체제(OS)를 재설치하는 등 조사를 방해한 흔적이 드러나면서다.

이날 조사단은 "익명의 제보자가 공개한 LG유플러스 통합 서버 접근제어 솔루션(APPM) 관련 서버 목록·계정 정보·임직원 성명 등은 실제 유출 사실로 확인됐다"고 밝혔다. 이어 "그러나 유출 경로로 의심되는 APPM 서버 및 협력사 관련 주요 서버들이 한국인터넷진흥원(KISA)의 침해사고 정황 안내 이후 OS가 재설치되거나 폐기됐다"고 말했다. 구체적인 침투 경로나 추가 피해 여부는 확인 불가능한 상태로 결론났다는 것이다.

과기정통부와 KISA는 증거가 될 서버를 OS 재설치·폐기한 행위를 부적절한 조치이자 조사 방해로 보고, LGU+를 형법상 위계에 의한 공무집행방해 혐의로 경찰에 수사의뢰했다. 정부는 "SK텔레콤, KT에 이어 LG유플러스 사례까지 포함해 침해사고 미신고·은폐에 대한 제재 강화를 위해 정보통신망법 개정을 추진하겠다"며 "기간통신망 보안 수준 제고를 위한 제도 개선과 AI 시대 대비 정보보호 역량 고도화를 병행하겠다"고 밝혔다.

최지희 기자 mymasaki@hankyung.com