정부가 침해 사고는 KT의 과실로 모든 KT 이용자는 위약금 면제 대상이라고 판단했다. LG유플러스는 침해사고 정황이 확인돼 사고 은폐 의혹에 대한 수사를 의뢰하기로 했다.
과학기술정보통신부는 29일 정부서울청사에서 KT와 LG유플러스 침해 사고에 대한 민관합동조사단의 최종 조사 결과를 발표했다.
KT 신규가입 중단 면해
KT 침해사고에 대해 류제명 과기부 제2차관은 "법률 자문 기관(5개) 중 대다수(4개)가 이번 침해사고를 KT의 과실로 판단했다"며 "펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 위무 위반이므로 위약금 면제 규정이 가능하다는 의견을 제시했다"고 밝혔다.
KT는 이용약관에 '기타 회사의 귀책 사유'로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있어 조만간 위약금 면제 조건 등 보상 방안을 내놓을 예정이다.
다만 KT는 SK텔레콤과 달리 신규 가입이 중단은 면했다. 이에 대해 류 차관은 "SK텔레콤은 당시 기존 가입자의 유심 교체가 부족해 신규 가입을 멈춘 것"이라며 "당시 징벌적인 행정 조치로 신규 영업 중단을 요구한 것이 아니었다. 동일한 패턴이었다면 KT도 관련 조치를 시행했을 것"이라고 설명했다.
지난 침해사고에서 소액결제에 사용된 개인정보 유출 경로는 밝혀지지 않았다. 악성코드에 감염된 KT 서버가 탈취 경로일 가능성이 제기됐으나, 로그가 보존된 기간 내에서는 유출 정황이 확인되지 않았다. 다만 로그가 남아있지 않은 기간에 대해서는 유출 여부를 확인할 수 없어 향후 개인정보보호위원회가 관련 사안을 조사할 예정이다.
종단 간 암호화가 설정된 펨토셀은 암호 설정이 이뤄지기 전 초기 단계에 침투 당한 것으로 밝혀졌다. 이동근 한국인터넷진흥원(KISA) 본부장은 "일반적으로 종단 간 암호화가 완료된 후 이를 해제하는 것은 기술적으로 매우 어렵다"며 "단말이 KT 망에서 암호 설정을 위해 서버와 협상하는 초기 단계에서 중간 개입이 이뤄질 경우 암호 설정 없이도 연결이 가능하다는 허점이 확인됐다"고 말했다.
LG유플러스 은폐 의혹…"수사 의뢰"
LG유플러스도 침해사고 정황이 확인됐다. 조사단은 LG유플러스가 KISA의 침해사고 정황 안내 이후 관련 서버를 재설치하거나 폐기한 것으로 보고, 위계에 의한 공무집행 방해 혐의로 경찰청에 수사 의뢰했다.
조사단에 따르면 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 유출된 것으로 의심되는 APPM 서버 중 하나가 그 사이 업그레이드가 진행돼 침해사고 흔적을 확인할 수 없게 됐다. 협력사 해킹 이후 LG유플러스 내부로 침투했다는 제보가 있었으나, 해당 장비가 재설치되거나 폐기돼 경로 확인이 불가능하게 됐다.
류제명 차관은 "이번 KT와 LG유플러스 침해사고는 국가 핵심 기간통신망 보안에 허점이 드러난 엄중한 사항"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존 필수 조건임을 인식하고 정보보호를 경영 핵심 가치로 삼아야 한다"고 강조했다.
