인더뉴스 이종현 기자ㅣ과학기술정보통신부(이하 과기부)가 지난 8월 발생한 KT 고객 무단 소액결제 침해 사고에 대해 KT에 과실이 있어 위약금 면제 규정을 적용할 수 있다고 판단했습니다.
과학기술정보통신부(이하 과기부)는 KT[030200]와 LG유플러스[032640]의 사이버 침해 사고에 대한 민관합동조사단(이하 조사단)의 조사 결과 및 KT의 이용약관 상 위약금 면제 규정에 대한 검토 결과를 29일 발표했습니다.
KT는 지난 9월8일 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했습니다. 과기부는 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단, 같은 달 9일 조사단을 구성하여 피해 현황 및 사고 원인 조사에 나섰습니다.
조사단의 조사 결과, 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출되었고 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해가 발생하였음을 확인했습니다. 이는 KT가 산출한 피해 규모와 일치하는 수치입니다.
조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염되었음도 확인했습니다. 또한, KT가 자체적으로 실시한 외부업체 보안점검에서 침해 흔적이 발견되었다고 확인된 서버 및 이와 연계된 서버에 대한 조사단의 포렌식 과정에서 53대 서버 감염 및 루트킷 39종, 백도어 36종, 디도스 공격형 2종 등 77종의 악성코드를 발견했습니다.
조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 해당 펨토셀에 KT망 접속에 필요한 KT 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐가는 트래픽을 캡처하여 제3의 장소로 전송하는 기능이 있음을 확인하였으며 이를 바탕으로 사고 원인을 파악했습니다.
공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합하여 피해자를 선정하고 피해자의 개인정보로 상품권 구매 사이트를 접속하여 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취하여 무단 소액결제를 한 것으로 조사단은 판단했습니다.
이에 조사단은 9월10일 불법 펨토셀 접속 차단을 위해 통신3사의 신규 펨토셀 접속을 전면 제한하는 한편, KT에 ▲펨토셀이 발급받은 통신사 인증서 유효기간 단축(10년→1개월) ▲펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 ▲펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 ▲펨토셀 제품별 별도 인증서 발급 등을 조치토록 했습니다.
또한 KT는 제조사가 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책을 마련하여야 하며 펨토셀 보안 취약점 발굴·조치를 위한 화이트해커와의 협력 등 지속적 관리체계를 구축·운영해야 한다는 재발방지 대책을 세웠습니다.
과기정통부는 이번 조사단의 조사결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출토록 하고 KT의 이행 여부를 점검할 계획입니다. 이행 점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이며 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 예정입니다.
한편, 위약금 면제 여부에 대해서 과기정통부는 5개 기관에 법률 자문을 진행했으며 이중 4개 기관이 이번 침해 사고를 KT의 과실로 판단하고 위약금 면제 규정 적용 가능하다는 의견을 제시했습니다.
과기정통부는 KT가 안전한 통신서비스 제공을 위한 펨토셀 관리와 관련하여 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반하였으므로 KT의 과실이 있다고 판단, KT 전체 이용자를 대상으로 KT 이용 약관상 위약금을 면제해야 하는 회사의 귀책사유라고 결론 지었습니다.
한편, KISA는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 지난 7월 입수하고 LG유플러스에 관련 사항을 공유, 침해사고 신고를 안내했습니다. 과기정통부는 자체 조사단을 구성해 8월25일부터 LG유플러스 현장 조사를 실시했습니다.
조사 결과, 익명의 제보자가 유출되었다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LG유플러스에서 유출된 것으로 확인됐습니다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스의 자료와 상이함을 확인했습니다. 자료가 유출되었을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드 등의 작업이 이루어져 침해사고 흔적을 확인할 수 없는 상황임을 확인하기도 했습니다.
조사단은 LG유플러스의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 후에 이루어진 점을 고려할 때 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 지난 9일 경찰청에 수사를 의뢰했습니다.
배경훈 과기정통부 부총리는 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"라고 말했습니다.
