과기정통부 “KT 과실 명확⋯위약금 면제 적용 가능” 
LGU+는 허위자료 제출로 수사 의뢰

KT의 침해사고를 조사한 결과 ‘보안 부실’이라는 답이 나와 후폭풍이 예상된다.

정부의 KT와 LGU+에 대한 침해사고 최종 조사 결과, KT에서는 펨토셀 관리 부실로 2만 2000여 명의 개인정보가 유출되고 소액결제 피해가 발생한 것으로 드러났다. LGU+는 허위자료 제출과 서버 폐기로 사실관계 자체를 확인할 수 없어 수사 의뢰했다.

과학기술정보통신부는 29일 민관합동조사단의 조사 결과 발표에서 “KT가 불법 펨토셀 접속을 차단하지 못한 구조적 취약점을 방치했다”고 밝혔다. 

불법 장비는 정상 펨토셀과 동일한 제조사 인증서를 복제해 KT 내부망에 접속한 뒤 강한 전파를 이용해 주변 단말기를 연결시키고 IMSI·IMEI·전화번호 등 가입자 정보를 탈취한 것으로 조사됐다. 공격자는 이를 별도 입수한 개인정보와 결합해 상품권 결제 사이트에 접속하고, ARS·SMS 인증 정보를 가로채 무단 결제를 시도했다.

KT 서버 전수조사에서는 더욱 심각한 관리 부실이 드러났다. 

조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염됐음을 확인했다. 또 KT가 작년 3월~7월 기간에 감염서버를 발견했음에도 정부에 신고 없이 자체 조치한 악성코드 감염서버는 총 41대에 이르렀다.

특히 루트킷 등 은닉형 악성코드는 기록이 남지 않아 감염 경로는 물론 정보 유출 여부조차 확인이 어려운 상태였으며, KT 주요 시스템의 로그 보관 기간이 1~2개월에 불과해 장기적인 추적도 불가능했다.

암호화 설정에서도 취약점이 확인됐다. 단말기와 코어망 사이 종단 암호화가 유지돼야 함에도 불법 펨토셀을 거치면서 암호화가 해제되는 구간이 존재했다. 또 아이폰 16 이하 모델은 KT가 종단 암호화를 지원하지 않아 SMS가 평문으로 전송되는 문제가 드러났다.

조사단은 펨토셀 인증서 유효기간 단축, 형상정보 기반 접속 검증, 비정상 IP 차단, 종단 암호화 유지, 보안장비 확충, 로그 보관기간 확대 등 KT에 전면적인 보안 개선을 요구했다. 

과기정통부는 “KT가 이용자 보호 의무를 다하지 않았다”며 “KT 약관상 위약금 면제 규정 적용이 가능하다”고 밝혔다.

LGU+ 사건은 조사 자체가 불가능했다. 회사 측이 허위자료를 제출하고 관련 서버를 폐기한 정황이 확인돼, 과기정통부는 LGU+를 ‘위계에 의한 공무집행방해’ 혐의로 경찰에 수사 의뢰했다.

정부는 이번 결과를 토대로 통신사 펨토셀 보안 기준 강화, 암호화 설정 점검, 화이트해커 협력 확대 등 제도 개선을 추진한다는 방침이다. 

배경훈 부총리 겸 과학기술정보통신부 장관은 “국민의 통신·금융 피해를 방지하기 위해 통신사 보안 체계를 전면적으로 점검하겠다”고 밝혔다.

/김재욱기자 kimjw@kbmaeil.com

김재욱 기자

kimjw@kbmaeil.com

• KT 침해사고 ‘보안 부실’ 드러났다⋯2만 2000여 명 정보유출
• 대구 수성구, ‘칼라스퀘어 미디어아트 테마파크’ 본격 착수
• 중소기업중앙회, 2026년 사자성어 ‘자강불식’ 선정

다른기사 보기