[더팩트｜우지수 기자] 정부가 최근 발생한 KT의 해킹 및 개인정보 유출 사고와 관련해 "KT의 명백한 과실"이라는 결론을 내렸다. KT 이용자들은 약정 기간이 남아있더라도 위약금 없이 서비스 해지가 가능해질 전망이다. 반면 침해사고 조사 과정에서 관련 서버를 폐기하는 등 증거를 인멸한 정황이 포착된 LGU+에 대해서는 경찰 수사가 진행된다.

과학기술정보통신부는 29일 이 같은 내용을 담은 'KT, LGU+ 침해사고 민관합동조사단 조사 결과'를 발표했다. 조사 결과에 따르면 KT는 초소형 기지국인 '펨토셀' 관리 부실로 외부 침입을 허용했다.

KT는 납품되는 모든 펨토셀에 동일한 인증서를 사용했고 유효기간을 10년으로 설정해 보안에 취약점을 드러냈다. 해커는 이를 악용해 불법 펨토셀로 KT 내부망에 접속했고 이용자들의 통화·문자 정보를 가로챘다.

이 사고로 2만2227명의 고유식별번호(IMSI)와 전화번호 등이 유출됐으며 368명이 2.43억원 규모의 소액결제 피해를 입었다. 특히 KT는 통신 내용을 암호화해야 하는 기본 수칙조차 지키지 않아 해커가 평문으로 된 결제 인증번호를 탈취할 수 있었던 것으로 드러났다.

과기정통부는 이번 사고가 KT의 '중대 과실'에 해당한다고 판단했다. 펨토셀 관리는 통신 서비스 제공을 위한 핵심 의무인데 이를 소홀히 해 전체 이용자를 위험에 빠뜨렸다는 것이다. 과기정통부는 법률 자문 결과를 토대로 "KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못했다"며 "이용약관상 위약금 면제 사유인 '회사의 귀책 사유'에 해당한다"고 결론 내렸다.

다만 정부는 일각에서 제기된 영업정지 가능성에 대해서는 선을 그었다. 류제명 과기정통부 제2차관은 이날 브리핑에서 "과거 SK텔레콤에 신규 영업정지 조치를 했던 것은 유심 재고가 부족한 상황에서 기존 가입자 교체보다 신규 모집에 유심을 활용하는 것을 문제시했던 것"이라며 "통신사에 대한 징벌적 행정조치로 신규 영업을 중단시킨 것이 아니며 KT도 동일 패턴이었다면 당연히 적용했을 것"이라고 설명했다.

KT는 또 지난 3월부터 7월 사이 악성코드 감염 서버 41대를 발견하고도 정부에 신고하지 않고 자체적으로 삭제하는 등 은폐를 시도한 사실도 확인됐다. 정부는 이에 대해 과태료를 부과하고 조사 방해 혐의로 경찰에 수사를 의뢰했다.

류 차관은 이번 해킹에 사용된 악성코드 'BPF도어'의 배후와 관련해 "중국이라는 국가 배후를 특정해야 한다는 이야기가 있지만 공격 시점 등을 봤을 때 BPF도어가 오픈소스화된 후 해킹이 이뤄진 상황"이라며 "어떤 국가 배후의 공격인지, 오픈소스화 이후 다른 공격자에 의한 것인지 단정하기 어렵다"고 덧붙였다.

조사단은 LGU+의 고객 정보 유출 제보를 받고 조사에 착수했으나 LGU+가 관련 서버의 운영체제(OS)를 재설치하거나 폐기해 로그 기록을 확인할 수 없었다. 조사단은 LGU+가 정부의 침해사고 안내를 받은 직후 서버를 폐기한 점을 들어 '위계에 의한 공무집행 방해' 혐의로 경찰에 수사를 의뢰했다.

배경훈 부총리 겸 과기정통부 장관은 "이번 사고는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심 가치로 삼아야 한다"고 강조했다.

정부는 KT에 2026년 1월까지 재발방지 이행계획을 제출하도록 하고 4월까지 이행 여부를 점검할 계획이다. 아울러 고의적인 침해사고 미신고에 대한 제재를 강화하는 방향으로 정보통신망법 개정도 추진한다.

이에 대해 KT 측은 "민관합동조사단 결과 발표를 엄중하게 받아들이며, 고객 보상과 정보보안 혁신 방안이 확정되는 대로 조속히 발표할 예정"이라고 밝혔다.

index@tf.co.kr