과기정통부는 29일 서울 종로구 정부서울청사에서 진행한 ‘KT∙LG유플러스 침해사고’ 최종 조사결과 브리핑에서 “이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다”고 밝혔다.
조사 결과에 따르면 KT의 펨토셀 인증서 관리, 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었다. 불법 펨토셀은 언제, 어디서든 KT 내부망에 접속할 수 있었으며 통신 트래픽 캡쳐가 가능한 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자, 음성통화 정보 탈취가 가능했다.
앞서 KT는 2만 2227명의 가입자 식별정보가 유출됐고, 368명이 총 2억 4300만 원 규모의 소액결제 피해를 입었다고 자체 발표했다. 조사단은 조사 결과 피해 규모는 KT가 공개한 수치와 일치했지만, 로그 미보관 기간에 대해서는 추가 피해 여부 확인 자체가 불가능했다고 밝혔다.
또한, 통신 과정에서 이용자 단말기와 KT 내부망 사이 구간의 송·수신되는 정보는 종단 암호화가 이뤄졌어야 함에도 불법 펨토셀에 의해 종단 암호화 해제가 가능했던 사실이 확인됐다.
이에 과기정통부는 KT의 펨토셀 부실 관리로 인한 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 노출된 것으로 판단했다.
이러한 조사 결과를 토대로 과기정통부는 KT 침해사고가 ‘회사의 귀책 사유’에 해당한다고 결론내렸다. 법률 자문 기관 5곳 중 4곳은 펨토셀 관리 부실이 안전한 통신서비스 제공이라는 계약상 주된 의무 위반에 해당해, 이용자가 계약을 해지할 경우 위약금 면제가 가능하다는 의견을 냈다.
조사단은 앞서 중간조사 브리핑에서 KT가 BPFDoor 등의 악성코드 감염 사실을 은폐했다고 밝힌 바 있다. 이에 SK텔레콤 침해사고 조사 당시 KT의 감염 사실이 드러나지 않았던 것이다. 이번 조사에서 KT가 감염서버를 발견했음에도 정부에 신고 없이 삭제 등 자체 조치한 악성코드 감염서버는 총 41대로 확인됐다.
과기정통부는 이번 조사 결과를 토대로, KT에 1월까지 재발방지 대책에 따른 이행계획을 제출하도록 하고, 6월 KT의 이행 여부를 점검할 계획이다. 또한, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획이다.
한편, LG유플러스에 대한 조사에선 내부 서버 접근제어 솔루션(APPM) 관련 정보 유출 사실이 확인됐다. 다만 핵심 서버들이 운영체제 재설치 또는 폐기돼 침해 경로와 범위는 명확히 규명되지 않았다. 정부는 이러한 조치가 부적절하다고 보고 위계에 의한 공무집행 방해로 9일 경찰청에 수사를 의뢰했다.
배경훈 부총리는 “이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라면서 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.
![RIA 稅혜택 늘리자… '서학개미' 셈법 복잡[서학개미 되돌릴까]①](https://img.etoday.co.kr/crop/140/88/2274018.jpg)
![삼성전자와 소름 돋게 똑같은 상황! 2026년 증시 탑픽 '이 주식' ㅣ 이영훈 iM증권 이사 ㅣ 염승환 LS증권 이사 [찐코노미]](https://i.ytimg.com/vi/iOJFEN8RxHs/mqdefault.jpg)
![[이투PICK 순삭랭킹] 12월 넷째 주 유튜브 영상 순위](https://img.etoday.co.kr/crop/300/170/2269073.jpg)
![12·29 여객기 참사 1주기, 디지털 분향소 설치된 서울역 [포토]](https://img.etoday.co.kr/crop/300/190/2274442.jpg)