KTとLG U+のハッキング侵害事故に関する政府調査の結果、KTの侵害事故は明白な過失があり、LG U+は不適切なセキュリティ対策により資料流出事故が発生したことが判明した。科学技術情報通信部は、KTの利用約款に基づく違約金免除規定を全加入者に適用できると明らかにした。また、サーバー廃棄とオペレーティングシステム(OS)再インストールにより調査が不可能な状況を招いたLG U+について、公務執行妨害の疑いで警察に捜査を依頼したと述べた。
◇ フェムトセル管理の不備が露呈したKTのハッキング…全加入者を対象に違約金免除
科学技術情報通信部(民官合同調査団)は29日、このような内容を盛り込んだKTとLG U+のハッキング侵害事故の調査結果を発表した。科学技術情報通信部によると、KTでは違法フェムトセル(超小型基地局)により2万2227人の加入者識別番号(IMSI)、端末識別番号(IMEI)、電話番号が流出し、368人の顧客が無断少額決済の被害を受け、総額2億4300万ウォンの被害が発生した。
また、KTの全サーバーでマルウェアが感染していた事実が確認され、94台のサーバーでBPFDoor、ルートキットなど103種類のマルウェアが発見された。科学技術情報通信部は、KTのフェムトセル管理の不備により違法フェムトセルがKT内部網に接続でき、通信トラフィックをキャプチャできる状況が発生したと説明した。エンドツーエンド暗号が解除され、決済認証情報および個人情報も流出し得る状況だった。KTはフェムトセルのセキュリティ点検の不十分、セキュリティ機器の不足、ログの短期保管など、基本的な情報保護活動の欠如が問題として指摘された。
科学技術情報通信部は、KTのフェムトセル不十分管理によって引き起こされた平文のメッセージ、音声通話の盗取リスクは、少額決済被害が発生した一部利用者に限られるものではなく、KTの全利用者がリスクにさらされていたと判断した。これを踏まえ、KTの利用約款上の「その他会社の帰責事由」に該当するかどうかを法的助言を通じて検討した結果、KTが安全な通信サービスを提供すべき契約上の義務に違反したと判断した。KTの過失が確認された点、そしてKTが全利用者に提供すべき安全な通信サービスを提供できていなかった点を考慮すると、KTは今回の侵害事故に伴う違約金を免除すべき帰責事由に該当すると結論づけた。
◇ LG U+、サーバー廃棄など公務執行妨害で警察が捜査
科学技術情報通信部は、匿名の通報者が流出したと主張したLG U+の統合サーバーアクセス制御ソリューション(APPM)と連結された情報(サーバー一覧、サーバーアカウント情報および役職員氏名)は、調査の結果、実際にLG U+から流出したものと確認したと明らかにした。APPMは、システムアカウントのパスワードを定期的に一括変更・管理し、ユーザーにパスワードを自動生成・発給する統合パスワード管理ソリューションを指す。
ただし、科学技術情報通信部は、LG U+から提出を受けたAPPMサーバーについて精密フォレンジック分析を実施した結果、匿名の通報者が公開したLG U+資料と相違することも確認したと付け加えた。資料が流出したと推定される別のAPPMサーバーは8月12日にオペレーティングシステムのアップグレードなどの作業が行われ、侵害事故の痕跡を確認できない状況であることも確認した。
また、匿名の通報者は、攻撃者がLGU+にAPPMソリューションを提供する協力会社をハッキングした後、LG U+に侵入したと主張した。科学技術情報通信部はこの主張についても確認を試みたが、協力会社社員のノートパソコンからLG U+のAPPMサーバーへと続くネットワーク経路上の主要サーバーなどがすべてOS再インストールまたは廃棄されており、調査が不可能な状況であることを確認したと明らかにした。再インストールまたは廃棄の時点は8月12日から9月15日までだと付け加えた。
科学技術情報通信部は、LG U+の関連サーバーのOS再インストールまたは廃棄行為がKISA(韓国インターネット振興院)が侵害事故の状況などについて案内した7月19日以降に行われた点を考慮すると、これを不適切な措置と判断し、威計による公務執行妨害で警察庁に捜査を依頼したと述べた。
裵慶勲(ペ・ギョンフン)副総理兼科学技術情報通信部長官は「今回のKT、LG U+侵害事故はSKテレコム侵害事故に続き、国家の中核基幹通信網にセキュリティの死角が露呈した厳重な事案だ」とし、「企業は国民が信頼できる安全なサービス環境を作ることが生存の必須条件であると認識し、情報保護を経営の核心価値とすべきだ」と強調した。