과기부 “KT, 번호 이동·해지 위약금 모든 고객에 면제해야”

채반석 기자 2025. 12. 29. 19:21
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
KT·LG U+ 침해사고 민관조사 결과

류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 케이티(KT)·엘지유플러스(LGU+) 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 연합뉴스

류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 케이티(KT)·엘지유플러스(LGU+) 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 연합뉴스

과학기술정보통신부가 지난 9월 발생 사실이 알려진 케이티(KT) 무단 소액결제 사건과 관련해 번호이동이나 서비스를 해지하려는 전 고객을 대상으로 위약금 면제가 가능하다고 결론 내렸다. 케이티의 총체적인 펨토셀(초소형 기지국) 관리 부실이 사고 원인인 만큼, 케이티가 안전한 통신서비스를 제공해야 할 의무를 위반했다고 판단한 것이다. 또한 펨토셀을 통해 케이티 가입자의 휴대전화를 해킹해 무단 소액결제 사건을 저지른 일당이 지난해에도 같은 수법으로 범행을 시도한 정황이 경찰 수사를 통해 드러났다.

케이티와 엘지유플러스(LG U+) 침해사고를 조사한 민관합동조사단과 경찰은 29일 서울 광화문 정부서울청사에서 이런 내용의 최종 조사 결과를 발표했다. 내용을 보면, 조사단은 지난 8~9월 케이티에서 발생한 무단 소액결제 사고의 원인으로 케이티의 펨토셀 보안 관리 부실에 따른 불법 펨토셀 접속 허용으로 판단했다. 또한 불법 펨토셀에 의해 암호화가 해제되면서 통화와 문자 등 결제 인증 정보가 탈취될 수 있다는 점도 확인했다. 과기정통부는 케이티의 과실이 발견된 점을 고려해 케이티가 전체 이용자를 대상으로 번호이동이나 서비스 해지 때 위약금을 면제해야 한다고 판단했다. 정부는 앞서 지난 7월 에스케이텔레콤(SKT) 침해사고 조사 결과 발표 때도 같은 결정을 내린 바 있다.

경찰은 이번 사건과 관련해 펨토셀을 운영한 피의자 ㄱ씨 등 13명(구속 5명, 불구속 8명)을 검거하고 이 가운데 11명을 검찰에 송치했다고 밝혔다. 상선을 포함한 미검거한 2명은 인터폴을 통해 적색수배를 내렸다. 특히 경찰은 “범인들이 지난해 5월 불법 기지국(펨토셀)을 운영한 정황을 확인했다”고 밝혔다. 다만, 당시 펨토셀이 정상적으로 작동하지 않아 이들 범행은 실패했다고 한다.

경찰은 이들이 사용한 케이티 인증서 가운데 하나는 2019년 7월 경기 북부의 한 군부대에 설치됐던 케이티 펨토셀의 인증서로 파악했다. 이 펨토셀은 2020년 막사 이전 과정에서 유실된 것으로 밝혀졌다. 경찰은 “상선이 이 장비를 알 수 없는 방법으로 입수해 저장된 인증서를 사용한 것으로 보인다”고 했다. 다만, 이들이 무단 소액 결제에 필요한 가입자 개인 정보를 언제, 어떻게 확보했는지는 경찰 수사로 밝혀져야 할 대목이다. 케이티가 2022년부터 지난해까지 비피에프도어(BPFDoor∙공격자만 드나들 수 있는 일종의 숨겨진 뒷문) 등 악성 코드 공격을 받았을 당시 외부로 유출된 정보를 범인이 입수했을 가능성도 제기되지만, 경찰은 이들 두 사건 사이의 직접적인 관련성에 대해서는 확인하기 어렵다는 입장이다.

이날 민관합동조사단이 밝힌 케이티 무단 소액결제 사고 피해 현황은 지난 10월17일 케이티가 발표한 가입자 식별번호(IMSI) 등 정보유출 2만2227명, 소액결제 피해자 368명, 피해액 2억4300만원에서 늘지는 않았다. 케이티 기지국 접속기록 4조3백억건과 통신결제대행 기록 1억5천만건 등을 분석한 결과다. 다만 케이티가 정부에 신고하지 않고 자체 처리했다가 이번 조사 과정에서 뒤늦게 적발된 케이티 악성코드 감염 서버는 중간조사 시점 43대에서 최종 94대로 늘었다. 조사단은 케이티 전체 서버 점검과 감염서버 포렌식을 통해 총 94대의 서버가 비피에프도어 등 악성코드 103종에 감염됐음을 확인했다. 앞서 올 초 발생한 에스케이텔레콤 해킹 사건의 경우, 에스케이텔레콤은 악성코드 33종에 감염됐고 공급망 보안 관리 취약으로 악성코드 1종이 서버 88대에 유입된 것으로 파악됐는데, 케이티의 감염 범위가 보다 더 광범위한 것이다. 통신 결제 관련 데이터가 남아있지 않은 기간인 지난해 7월31일 이전의 피해 규모는 확인이 불가능해 추가 피해 여지는 미궁으로 남게 됐다.

케이티는 이날 입장문을 내어 “민관 합동 조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정”이라고 했다.

엘지유플러스 침해사고 건은 증거 부족으로 조사가 불가능해 경찰에 수사를 의뢰하는 것으로 마무리됐다. 조사단은 지난 8월 미국 보안 전문지 프랙을 통해 제기된 엘지유플러스 해킹 의혹과 관련해 실제로 서버 계정 정보와 임직원 성명 등의 정보가 유출된 사실을 확인했으나, 엘지유플러스가 관련 서버 운영체제(OS)를 재설치하고 폐기해 조사가 불가능했다고 설명했다. 조사단은 엘지유플러스를 지난 9일 공무집행 방해 혐의로 경찰에 수사를 의뢰했다.

한편, 정부는 실효성 논란이 일었던 ‘정보보호 및 개인정보보호 관리체계’(ISMS·ISMS-P) 인증취소 기준 구체화 방안을 확정해 시행하겠다고 밝혔다. 인증 기업이 개인정보 보호법 위반으로 과징금 등의 처분을 받은 경우 위반 행위의 중대성을 따져 인증을 취소한다는 것이 핵심이다. 특히 1천만명 이상의 피해가 발생하는 등 사회적 영향이 큰 경우에는 원칙적으로 인증을 취소한다는 방침이다.

채반석 기자 chaibs@hani.co.kr

Copyright © 한겨레신문사 All Rights Reserved. 무단 전재, 재배포, AI 학습 및 활용 금지

한겨레에서 직접 확인하세요. 해당 언론사로 이동합니다.