과학기술정보통신부가 최근 발생한 통신사 침해사고에 대한 최종 조사 결과를 발표했다. 정부는 KT의 보안 관리 부실을 '명백한 범실'로 규정하고 이용자 전원에 대한 위약금 면제를 결정했다. 조사를 조직적으로 방해한 LG유플러스에 대해서는 경찰에 수사를 의뢰했다.

29일 과학기술정보통신부가 서울 정부청사에서 KT, LG유플러스 침해사고 최종 조사결과를 발표했다.

조사 결과에 따르면 KT는 지난 9월 내부망에 등록되지 않은 불법 기기가 접속하면서 침해사고가 시작돼 이번 사고로 이용자 2만 2000명의 식별번호와 전화번호가 유출됐다. 이 가운데 400여 명은 약 3억 원 규모의 소액결제 피해를 입은 것으로 집계됐다.

가장 큰 문제는 '펨토셀(소형 기지국)' 관리였다. KT는 생산부터 납품까지 보안 전반을 외주에 맡긴 채 방치했다. 이로 인해 불법 펨토셀이 언제든 내부망에 접속해 통신 트래픽을 캡처할 수 있는 환경이 조성됐다. 특히 종단 암호화가 제대로 이뤄지지 않아, 불법 기기를 통과하는 문자 메시지와 전화 통화 내용이 암호화되지 않은 '평문' 상태로 탈취될 수 있었던 것으로 드러났다.

과기정통부는 KT 전체 서버 3만3000대 중 94대에서 루트킷을 포함한 악성코드 103종을 확인했다.

과기정통부 관계자는 "안전한 서비스 제공은 통신사의 주된 의무"라며 "KT가 펨토셀 관리 부실로 이용자 전체를 위험에 노출시킨 만큼, 이는 계약상의 중대한 의무 위반이자 위약금 면제 사유에 해당한다"고 못 박았다. 법률 자문을 받은 5개 로펌 중 대부분도 전체 사용자에 대한 위약금 면제가 가능하다는 의견을 냈다.

LG유플러스에 대한 조사는 지난 8월 25일 시작했으나 조사에 난항을 겪었다. 정부는 보안 전문지를 통해 유출 정황을 포착하고 조사에 착수했으나, LG유플러스는 조사단이 도착하기 전 운영체제(OS)를 재설치하거나 관련 서버를 폐기했다.

정부는 LG유플러스의 이러한 조치가 침해 사고의 흔적을 지우기 위한 부적절한 행위라고 판단했다. 과기정통부는 "LG유플러스의 OS 초기화 등으로 인해 정상적인 조사가 불가능했다"며 이를 위계에 의한 공무집행방해로 보고, 경찰에 수사를 의뢰한 상태다.

정부는 이번 사고가 국민 생활의 필수 서비스인 통신망에서 발생한 만큼, 관련 법령에 따라 엄중히 처벌할 방침이다. KT에는 정보보호 거버넌스 및 자산관리 체계의 전면적인 개선을 명령했다.

류제명 과기정통부 제2차관은 "이번 조사는 투명한 공개와 엄정한 처벌을 원칙으로 진행됐다"며 "통신사가 이용자의 기대를 저버리고 기본적인 보안 의무조차 이행하지 않은 것에 대해 무거운 책임을 물을 것"이라고 밝혔다.