팸토셀 무방비…무단 소액결제 피해
서버 94대 악성코드 감염 ‘초유사태’
유출 은폐 시도ㆍ조사 방해 정황도
KTㆍLGU+ 대상 경찰 수사 의뢰
 |
| 류제명 과학기술정보통신부 제2차관이 29일 정부 서울청사에서 KT와 LG유플러스 정보 유출 사건에 대한 민관합동조사단 최종 조사 결과를 발표하고 있다. / 사진: 안윤수 기자 |
[대한경제=민경환 기자] KT의 ‘팸토셀(초소형 기지국) 해킹’ 사건을 조사해 온 정부가 KT의 보안 관리 체계가 전반적으로 부실했다는 최종 결론을 내렸다. 특히 사업자의 주의 의무 위반이 중대하다고 판단, 피해 여부와 상관 없이 전체 가입자가 위약금 없이 계약을 해지할 수 있게 해야 한다고 판단했다.
과학기술정보통신부는 29일 정부 서울청사에서 KT와 LG유플러스 사이버 침해 사고 관련 민관합동조사단 최종 조사결과를 통해 KT 팸토셀 관리 시스템의 총체적 난맥상을 공개했다.
조사 결과, KT에 납품된 모든 팸토셀은 동일한 제조사 인증서를 사용했으며 유효기간도 10년에 달했다. 한 번이라도 인증을 거친 기기는 유효기간 내내 KT 내부망에 자유롭게 드나들 수 있는 ‘보안 프리패스’ 환경이었던 셈이다.
이 과정에서 2만2227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI)가 유출됐고, 368명은 2억4300만원 규모의 무단 소액결제 피해를 입었다. 더 심각한 것은 보안 암호화 체계의 붕괴다. 조사단은 “불법 펨토셀이 일부 구간에서 암호화 전 정보를 탈취해 평문 상태의 문자 메시지와 음성 통화 내용이 외부로 유출될 수 있는 구조였다”고 지적했다.
KT의 내부 서버 보안은 더욱 처참했다. 전수 조사 결과, 전체 서버 중 94대가 103종의 악성코드에 감염돼 있었다. 이는 지난 4월 발생한 SK텔레콤 해킹 사례(28대 33종)보다 훨씬 광범위한 수준이다. 실제 금전 피해가 발생한 것도 KT 해킹 사건이다.
 |
| 류제명 과학기술정보통신부 제2차관이 29일 정부 서울청사에서 KT와 LG유플러스 정보 유출 사건에 대한 민관합동조사단 최종 조사 결과를 발표하고 있다. / 사진: 안윤수 기자 |
KT의 ‘은폐 시도’도 재확인됐다. KT는 지난해 이미 감염 사실을 인지하고도 정부에 신고하지 않은 채 임의로 코드를 삭제하는 등 독자적인 수습에 나섰다. 서버 폐기 시점을 허위로 보고하거나 백업 로그 존재를 숨기는 등 조직적으로 조사를 방해한 정황도 포착됐다. 함께 발표된 LG유플러스 역시 해킹 의혹 직후 서버 OS를 재설치하거나 폐기하며 구체적인 침해 내용을 파악할 수 없게 만들었다.
과기정통부는 이번 사태가 단순 사고가 아닌 ‘예견된 인재’라고 판단했다. 이에 따라 KT 가입자 전체를 대상으로 위약금 없는 해지권을 부여하도록 하는 한편, 인증 서버 IP의 주기적 변경과 종단 암호화 강화 등 강도 높은 보안 개선책을 요구했다.
다만 신규 영업정지 처분은 내려지지 않았다. 유심(USIM) 교체가 시급했던 SK텔레콤 사례와 달리, 긴급한 행정지도가 필요한 상황은 아니라는 판단에서다. 대신 정부는 조사 방해와 유출 축소를 시도한 KT와 LG유플러스를 ‘위계에 의한 공무집행 방해’ 혐의로 경찰에 수사 의뢰하며 사법 처리를 예고했다.
KT는 “조사단 결과 발표를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표하겠다”고 밝혔다.
민경환 기자 erutan@
〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉
