"KT 위약금 면제 소급 기간과 적용 범위에 대해서는 추가 논의가 필요하다."
류제명 과학기술정보통신부 제2차관은 29일 정부서울청사에서 열린 KT와 LG유플러스의 해킹 침해사고 최종 조사 결과 발표 브리핑에서 이같이 밝혔다.
류 차관은 "이번 사고는 KT 전체 이용자에게 위약금 면제가 필요하다는 판단을 내렸다. 위약금 면제의 소급 기간 및 적용 범위는 KT의 자체 판단과 정부의 법률 자문을 바탕으로 결정될 것"이라며 "기존에 SK텔레콤이 유사한 사고 후 위약금 면제를 결정한 방식처럼, KT도 고객의 불편을 최소화하고 국민 눈높이에 맞는 적절한 결정을 내릴 것"이라고 했다.
과기정통부에 따르면 KT는 불법 펨토셀(초소형 기지국)로 인해 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명의 고객이 무단 소액결제로 총 2억4300만원의 피해가 발생했다. 류 차관은 "KT가 펨토셀에 동일 인증서를 사용해 불법 펨토셀이 내부망에 쉽게 접속할 수 있었다"면서 "KT가 인증서 유효기간을 10년으로 설정해 불법 펨토셀이 장기간 내부망에 접속할 수 있었고, 이로 인해 개인정보가 탈취될 위험에 노출된 것"이라고 설명했다.
이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "KT는 펨토셀의 인증서 관리와 외주 제작사 보안, 비정상 IP 접속 관리 등에서 명백한 보안 취약점이 있었다"며 "이로 인해 BPFDoor 등 악성코드가 감염된 43대 서버를 미신고하고 자체 처리한 사실이 드러났다"고 했다. 이 본부장은 이어 "현재 KT는 보안 강화를 위한 재발 방지 대책을 수립 중"이라며 "정부는 이를 점검하고 추가 보안 조치를 요구할 것"이라고 덧붙였다.
이날 과기정통부는 영업정지 제재에 대한 분명한 기준을 밝혔다. 류 차관은 "기존 가입자의 유심 교체와 관련된 문제가 발생했을 경우 정부는 (영업정지 같은) 적절한 조치를 취해야 한다. 하지만 KT의 경우 이번 해킹 사고에서 유심 교체가 필요하다는 상황은 확인되지 않았기 때문에 별도의 영업정지 조치는 취하지 않았다"고 밝혔다.
최우혁 과기정통부 네트워크정책실장은 "SK텔레콤 사례에서 신규 영업을 정지시킨 것은 유심 교체에 집중해야 하는 상황에서 기존 가입자들의 유심 교체를 방해하지 않기 위한 조치였다"며 "KT의 경우 현재까지 유심 교체가 필요하지 않다고 판단돼 영업정지는 이뤄지지 않았다"고 덧붙였다.
아이폰 단말기의 보안 문제도 언급됐다. 이동근 본부장은 "아이폰 16 이하 모델에서는 종단 간 암호화가 제대로 적용되지 않아 불법 펨토셀에 의한 정보 탈취 위험이 있었다"면서 "KT는 해당 문제를 인지하고, 종단 간 암호화가 해제되지 않도록 설정을 강화했고, 이런 문제가 재발하지 않도록 모니터링을 강화하고 있다"고 설명했다. 그러면서 "삼성 갤럭시 단말기는 기본적으로 암호화 설정이 돼 있지만, 일부 해외 직구 (갤럭시) 단말기나 다른 지역에서 유통된 단말기에서는 설정이 다를 수 있다"고 덧붙였다.
과기정통부는 LG유플러스 해킹 침해사고 조사 결과도 발표했다. 류 차관은 "정보유출 등 침해 흔적을 확인하기 위해 관련 서버를 포렌식 등 정밀분석하려 했으나 운영체제(OS) 재설치 또는 서버 폐기로 원활한 조사가 불가능했다"면서 "서버 폐기 등이 KISA가 침해사고 정황을 LG유플러스에 안내한 지난 7월 19일 이후에 이뤄진 점을 고려해 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다"고 했다.