정부가 대규모 서버 해킹 사고를 일으킨 KT에 대해 이용자에게 안전한 통신 서비스를 제공해야 할 계약상 핵심 의무를 위반했다고 규정했다. 그러면서 전 이용자를 대상으로 한 위약금 면제를 요구하고 나섰다.

29일 과학기술정보통신부에 따르면 민관 합동 조사단은 KT 침해 사고에 대한 최종 조사 결과를 발표하고, KT가 위약금 면제 조치 대상에 해당한다고 판단했다.

조사 결과 KT 서버 3만3000여 대를 여섯 차례 점검한 끝에 서버 94대에서 BPFDoor, 루트킷, 디도스 공격형 코드 등 총 103종의 악성코드 감염이 확인됐다.

이는 과거 역대급 통신사 해킹 사례로 지목됐던 SK텔레콤 사고보다도 감염 범위와 심각성이 크다는 평가다. SK텔레콤의 경우 악성코드 33종 감염이 확인된 바 있으나, KT는 악성코드 종류와 감염 서버 수 모두 이를 상회했다.

KT는 지난해 3월 일부 감염 서버를 발견하고도 정부에 즉시 신고하지 않은 채 서버 41대에 대해 자체적으로 악성코드를 삭제하는 조치를 취한 것으로 드러났다. 이로 인해 침해 범위와 피해 실태에 대한 파악이 늦어졌다는 지적도 제기됐다.

조사단은 2022년 4월부터 인터넷 접점 서버의 파일 업로드 취약점을 통해 악성코드가 유입됐으며, 일부 루트킷 악성코드는 로그가 남지 않아 침투 경로조차 특정하기 어렵다고 설명했다. 보안 관리 체계 전반이 사실상 무력화돼 있었다는 것이다.

서버 감염과 별도로 불법 초소형 기지국인 펨토셀이 KT 통신망에 무단 접속해 이용자 정보가 탈취된 사실도 확인됐다.

국제이동가입자식별정보와 단말기식별번호, 전화번호 탈취 피해 이용자는 2만2227명, 무단 소액결제 피해자는 368명으로 집계됐으며 피해액은 2억4300만원에 달했다.

다만 통신 결제 기록이 남아 있지 않은 지난해 7월 이전 피해는 확인이 불가능해 추가 피해 가능성은 여전히 남아 있다.

조사 결과 불법 펨토셀에는 KT 망 접속에 필요한 인증서와 인증 서버 정보가 저장돼 있었고, 통신 트래픽을 외부로 전송하는 기능까지 갖추고 있었다.

이 과정에서 결제 인증을 위한 ARS와 문자 메시지뿐 아니라 이용자의 문자·통화 내용까지 유출될 수 있었던 것으로 조사됐다. 특히 일부 단말기에서는 암호화 설정조차 지원되지 않았던 점도 드러났다.

조사단은 KT가 펨토셀 관리 체계를 사실상 방치해 불법 기기가 내부망에 손쉽게 접속할 수 있었다고 지적했다. 모든 펨토셀에 동일한 제조사 인증서를 사용하고 있었고, 비정상 IP 차단이나 접속 검증 절차도 제대로 작동하지 않았다는 것이다.

과기정통부는 이러한 보안 관리 실패가 약관상 위약금 면제 사유에 해당한다고 판단했다. 평문 상태의 문자와 음성 통화가 제3자에게 노출될 위험성은 일부 피해자에 국한되지 않고 전체 이용자에게 공통된 위험이라는 점도 근거로 들었다.

법률 자문을 진행한 5개 기관 가운데 4곳은 KT가 안전한 통신 서비스 제공이라는 계약의 본질적 의무를 위반했다며 위약금 면제가 가능하다는 의견을 제시했다.

정부는 KT가 과거 SK텔레콤 사례와 유사한 기준으로 위약금 면제를 시행할 것으로 보고 있다.

조사단은 재발 방지를 위해 서버와 네트워크 전반에 대한 보안 솔루션 도입 확대와 분기별 보안 점검, 장기 로그 보관, 중앙 관리 체계 구축을 요구했다. 또한 전사 자산 관리 책임자를 지정하고 정보기술 자산 관리 시스템을 도입할 것도 권고했다.

과기정통부는 KT에 내년 1월까지 재발 방지 이행 계획을 제출하도록 하고, 6월까지 이행 여부를 점검할 방침이다.