KT와 LG유플러스의 해킹 침해사고에 대한 정부 조사 결과 KT의 침해사고는 명백한 과실이 있었고, LG유플러스는 부적절한 보안조치로 인한 자료 유출 사고가 발생한 것으로 드러났다. 과학기술정보통신부는 KT 이용약관에 따른 위약금 면제 규정을 전체 가입자에게 적용할 수 있다고 밝혔다. 또한 서버 폐기와 운영체제(OS) 재설치로 조사가 불가능한 상황을 만든 LG유플러스에 대해 공무집행 방해 혐의로 경찰에 수사를 의뢰했다고 밝혔다.
◇ 펨토셀 관리 부실 드러난 KT 해킹… 전체 가입자 대상 위약금 면제
과기정통부(민관합동조사단)는 29일 이같은 내용을 담은 KT와 LG유플러스의 해킹 침해사고 조사 결과를 발표했다. 과기정통부에 따르면 KT는 불법 펨토셀(초소형 기지국)로 인해 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명의 고객이 무단 소액결제 피해를 입어 총 2억4300만원의 피해가 발생했다.
또한, KT 전체 서버에서 악성코드가 감염된 사실이 확인됐으며, 94대 서버에서 BPFDoor, 루트킷 등 103종의 악성코드가 발견됐다. 과기정통부는 KT의 펨토셀 관리 부실로 불법 펨토셀이 KT 내부망에 접속할 수 있었고, 통신 트래픽을 캡처할 수 있는 상황이 발생했다고 설명했다. 종단 암호화가 해제돼 결제 인증정보 및 개인 정보도 유출될 수 있었다. KT는 펨토셀 보안 점검 미흡, 보안장비 부족, 로그 단기 보관 등 기본적인 정보보호 활동의 부재가 문제로 지적됐다.
과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했다. 이를 토대로 KT의 이용약관상 '기타 회사의 귀책 사유'에 해당하는지 여부를 법률 자문을 통해 검토한 결과, KT가 안전한 통신서비스를 제공해야 할 계약상 의무를 위반했다고 판단했다. KT의 과실이 확인된 점, 그리고 KT가 전체 이용자에게 제공해야 할 안전한 통신서비스를 제공하지 못한 점을 고려할 때, KT는 이번 침해사고로 인한 위약금을 면제해야 하는 귀책사유에 해당한다고 결론지었다.
◇ LG유플러스, 서버 폐기 등 공무집행 방해로 경찰 조사
과기정통부는 익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LG유플러스에서 유출된 것으로 확인됐다고 밝혔다. APPM은 시스템 계정의 패스워드를 주기적 일괄변경 및 관리하고 사용자에게 패스워드를 자동 생성/발급하는 통합 패스워드 관리 솔루션을 말한다.
다만, 과기정통부는 LG유플러스에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스 자료와 상이함을 확인하였다는 점도 언급했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 지난 8월 12일 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황인 점도 확인했다.
또한, 익명의 제보자는 공격자가 LGU+에 APPM 솔루션을 제공하는 협력사를 해킹한 후 LG유플러스에 침투했음을 주장했다. 과기정통부는 이 주장에 대해서도 확인을 시도했으나, 협력사 직원의 노트북에서부터 LG유플러스의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능한 상황임을 확인했다고 밝혔다. 재설치 또는 폐기된 시점은 8월 12일부터 9월 15일까지라고 덧붙였다.
과기정통부는 LG유플러스의 관련 서버 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 7월 19일 이후에 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다고 밝혔다.
배경훈 부총리 겸 과학기술정보통신부 장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다" 고 강조했다.