과기정통부 "KT 펨토셀 관리 부실"…SKT 이어 위약금 면제 가능 판단

불법 펨토셀 내부망 접속 허용으로 2만2227명 개인정보 유출

368명 777건 무단 소액결제, 피해액 2억4300만원

과기정통부 "이용약관상 회사 귀책 사유 해당…계약 해지 시 위약금 면제 가능"

[사진=과학기술정보통신부]

SK텔레콤에 이어 KT도 통신사 과실에 따른 침해사고로 위약금 면제가 가능해졌다. 정부는 KT가 펨토셀 보안 관리를 소홀히 하면서 불법 장비의 내부망 접속을 허용, 이로 인해 개인정보 유출과 무단 소액결제 피해가 발생했다며, 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반했다고 판단했다.

과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표하고, KT 이용약관상 위약금 면제 규정 적용이 가능하다는 결론을 내렸다.

이는 앞서 SKT 침해사고에서 통신사 책임을 인정한 데 이어, 주요 통신사 전반의 보안 관리 책임을 명확히 한 판단으로 해석된다.

조사 결과 KT 침해사고의 핵심 원인은 펨토셀 관리 체계 전반의 구조적 부실로 드러났다. KT는 펨토셀 제품에 동일한 제조사 인증서를 사용하고, 인증서 유효기간을 10년으로 설정해 복제와 악용 가능성을 키운 것으로 확인됐다. 비정상 IP 접속 차단이나 펨토셀 고유 정보에 대한 검증 절차도 제대로 갖추지 않아, 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있는 환경이 조성됐다는 게 조사단의 판단이다.

공격자는 KT 인증서와 서버 IP 정보가 담긴 불법 펨토셀을 이용해 내부망에 접속한 뒤, 강한 전파를 송출해 인근 단말기를 불법 펨토셀에 연결되도록 유도했다. 이 과정에서 가입자 식별번호와 단말기 식별번호, 전화번호 등이 탈취됐고, 탈취한 정보는 무단 소액결제 범행에 활용된 것으로 조사됐다.

조사단은 이번 사고로 2만2227명의 개인정보가 유출됐고, 368명이 777건의 무단 소액결제 피해를 입어 피해 금액은 2억4300만원에 달한다고 밝혔다. 일부 기간은 관련 데이터가 남아 있지 않아 추가 피해 여부를 확인할 수 없었다.

치명적인 문제로는 통신 암호화 체계 붕괴가 지목됐다. 정상적인 통신 환경에서는 유지돼야 할 종단 암호화가 불법 펨토셀에 의해 해제되면서, 결제 인증 정보와 문자, 음성 통화가 평문 상태로 노출될 수 있었던 것으로 확인됐다. 조사단은 이는 단순한 개인정보 유출을 넘어, 통신의 신뢰성과 안전성 자체를 훼손한 사안이라고 판단했다.

KT의 서버 보안 관리 역시 도마에 올랐다. KT 전체 서버 약 3만3000대를 점검한 결과 94대 서버에서 총 103종의 악성코드가 발견됐다. 일부 서버는 KT가 이미 감염 사실을 인지하고도 정부에 신고하지 않고 자체 조치한 것으로 드러났다. 로그 보관 기간이 1개월에서 2개월에 불과해 침투 시점과 정보 유출 여부를 명확히 규명하는 데 한계가 있었다는 점도 문제로 지적됐다.

과기정통부는 이러한 조사 결과를 바탕으로 KT 이용약관상 위약금 면제 규정 적용 여부를 검토했다. 다수의 법률 자문 기관은 이번 침해사고를 KT의 과실로 판단했으며, 펨토셀 관리 부실은 전체 이용자에게 안전한 통신서비스를 제공해야 할 계약상 핵심 의무를 위반한 사안이라는 의견을 제시했다.

정부는 특히 이번 사고로 인한 통신 보안 위험이 소액결제 피해를 입은 일부 이용자에 국한되지 않고, KT 전체 이용자가 노출됐다고 판단했다. 이에 따라 이번 침해사고는 이용약관에서 규정한 ‘회사 귀책 사유’에 해당하며, 이용자가 계약을 해지할 경우 위약금 면제가 가능하다는 결론을 내렸다.

한편 LG유플러스 침해사고와 관련해서는 익명 제보자가 주장한 일부 자료 유출 사실이 확인됐지만, 관련 서버의 운영체제 재설치와 폐기 등으로 인해 침해 경로와 범위를 명확히 확인하는 데 한계가 있었다. 조사단은 LG유플러스가 침해사고 정황 인지 이후 관련 서버를 재설치하거나 폐기한 점을 문제 삼아 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다.

배경훈 과기정통부 장관은 “SKT에 이어 KT와 LG유플러스까지 잇따라 보안 취약점이 드러난 것은 국가 기간통신망 전반의 구조적 문제를 보여주는 사례”라며 “통신사는 정보보호를 비용이 아닌 생존의 핵심 가치로 인식해야 한다”고 말했다. 이어 “정부도 국민이 안심하고 통신과 AI 서비스를 이용할 수 있도록 정보보호 체계 전반을 강화하겠다”고 밝혔다.