2만 2,227명 가입자 정보 유출…2억 4,300만 원 피해
KT "조사단 결과 수긍…고객 보상·정보보안 방안 마련"

정부가 KT의 펨토셀 관리 부실로 발생한 사고와 관련해 전 고객을 대상으로 위약금 면제가 필요하다는 입장을 밝혔다.

과학기술정보통신부 민관합동조사단은 29일 광화문 청사에서 ‘KT·LGU+ 침해사고 최종 조사결과 발표’를 내놨다. 

이번 침해사고로 2만 2,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억 4,300만 원 규모의 피해가 발생한 것으로 드러났다.

조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor(중국 국가 배후 해커그룹), 루트킷 등 악성코드 103종이 감염되었음을 확인했다고 밝혔다. KT가 감염서버를 발견했음에도 정부에 신고 없이 자체 조치한 악성코드 감염서버는 총 41대로, BPFDoor 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종이 확인됐다.

이번 사고는 펨토셀 관리 부실로 발생했다. 조사결과에 따르면 KT는 펨토셀 관리 전반이 부실해 불법 펨토셀이 내부망에 접속할 수 있었다. 또한 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송수신되는 문자, 음성통화 정보 탈취가 가능했던 사실이 추가로 파악됐다.

과기정통부는 조사단의 조사결과를 바탕으로 법률 자문을 진행했고, 법률 자문 기관 5곳 중 4곳은 이번 침해사고를 KT의 과실로 판단했다. 이에 과기정통부는 이번 침해사고가 KT 전체 이용자를 대상으로 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.

또한 과기정통부는 제조사가 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책 마련을 지시했다. 펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 탐지·차단 등 기술적 조치를 갖춰야 한다고 했다.

한편, KT는 같은날 조사 결과 발표 이후 입장을 내고 "민관합동조사단 결과 발표를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정"이라고 밝혔다.

 

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]