개인정보 유출은 SKT, 악성코드 감염은 KT가 피해 더 컸다

KT도 위약금 면제…영업정지는 면해
LG U+는 경찰 수사 앞둬

KT 광화문 사옥. 연합뉴스

KT 해킹 사고가 악성코드 감염 규모 측면에서 SK텔레콤 해킹보다 큰 규모의 피해를 낸 것으로 나타났다.

과학기술정보통신부 민관합동조사단이 29일 광화문 정부서울청사에서 발표한 KT·LGU+ 침해사고 최종 조사 결과에 따르면, KT 해킹 피해는 앞서 해킹이 발생한 SK텔레콤과 비교해 악성코드 종류·개수·감염 범위가 더 광범위했다.

SK텔레콤은 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인된 반면, KT는 94대 서버에서 BPF도어, 루트킷 등 103종의 악성코드 감염이 확인됐다.

KT에서는 고객들에게서 소액결제로 빠져나간 금액이 2억4000여만 원에 달하는 실제 금전 피해가 발생하기도 했다.

다만, 개인정보 유출 측면에서는 SK텔레콤이 2300만명이 넘는 가입자 대부분의 전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 개인정보가 유출돼 2만2000여 명의 가입자식별번호(IMSI), IMEI, 전화번호 등이 유출된 것으로 파악된 KT보다 피해가 더 컸다.

다만 KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1∼2개월에 불과해 로그기록이 남아있지 않은 기간에 대한 유출 여부는 확인이 불가능해 피해 정도를 가늠하기 어렵단 한계가 존재한다.

LGU+의 경우 침해사고와 관련해 허위 자료 제출과 서버 폐기 정황이 드러나 강도 높은 경찰 수사가 예고됐다.

KT는 SK텔레콤 해킹 사태와 달리 신규 영업 정지는 피했지만 위약금 면제 조치는 동일하게 적용받게 됐다.

조사단은 KT 이용약관에 규정된 ‘회사 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제한다’는 조항을 근거로 이번 해킹 사고가 위약금 면제 사유에 해당한다고 판단했다.

조사단은 침해사고 과정에서 KT의 과실이 확인됐고, 안전한 통신서비스 제공이라는 계약상 주된 의무를 다하지 못했다고 봤다. 이에 따라 특정 피해 고객에게 국한하지 않고 전체 이용자를 대상으로 약관상 위약금 면제 사유가 성립한다고 결론 내렸다.

김무연 기자