과기부 "KT의 보안 관리 부실은 위약금 면제 사유…LG U+, 조사 방해 의혹"

과학기술정보통신부(이하 과기부)가 KT와 LG유플러스(이하 LG U+)의 침해사고에 대한 민관합동조사단(이하 조사단) 결과를 발표했다. KT에서 발생한 불법 초소형 기지국(이하 펨토셀)은 보안 관리 부실이기 때문에 KT의 귀책사유가 있다는 입장을 내놓았다. LG U+의 해킹사건은 자체적으로 서버를 폐기했기 때문에 조사가 불가능하다는 입장을 표명했다. 다만 LG U+는 이와 관련해 조사를 방해한 혐의로 경찰에 수사를 받게 됐다.

29일 과기부에 따르면 이날 조사단은 KT해킹의 직접적인 원인은 불법 펨토셀 관리 부실이라고 강조했다. KT에 납품되는 모든 펨토셀 제품은 동일한 제조사 인증서를 사용해 해당 인증서를 복사하는 경우 불법 장비로 KT망에 접속이 가능했다. 또 인증서 유효 기간을 10년으로 설정해 한 번이라도 접속 이력이 있는 기기는 무방비로 내부망에 접근할 수 있게 방치한 것으로 확인됐다.

공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정하고 피해자의 개인정보로 상품권 구매 사이트를 접속해 상품권 구매를 시도하고 피해자에게 전달되는 ARS와 SMS 등 인증정보를 탈취해 무단 소액결제를 한 것으로 정부는 판단했다.

조사단은 조사 결과를 바탕으로 법률 자문을 진행한 결과 대부분 법률 자문 기관이 이번 침해사고를 KT의 과실이라고 판단했다. 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로 위약금 면제 규정 적용이 가능하다는 의견을 제시했다. 과기부는 KT가 일반적으로 기대되는 사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했다고 판단해 위약금 면제가 인정된다는 것. KT측은 조사단 발표에 대해 "민관합동조사단 결과 발표를 엄중하게 받아들인다"며 "고객 보상과 정보보안 혁신 방안이 확정 되는대로 조속히 발표할 예정"이라고 말했다.
정부는 재발 방지를 위해 KT에 △펨토셀 생산 인증서 △통신사 인증 서버 IP △셀 ID에 대한 보안 정책 △펨토셀 시큐어 부팅 기능 구현 △인증 서버 IP 주기적 변경 △불법 펨토셀 접속 이상 징후 모니터링 및 차단 △종단 암호화 해제 방지 및 모니터링 강화 등을 요구했다. 아울러 조직 체계 개편도 요구했다. 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 체계를 개편하고 전사 자산을 관리하는 정보기술최고책임자(CIO)를 지정하는 등 정보기술 자산관리 솔루션 도입을 요구했다.

조사단은 LG U+의 경우 통합 서버 접근 제어 솔루션(APPM)과 연결된 서버 목록, 계정 정보, 임직원 성명 등이 유출된 사실이 확인됐다. 뿐만 아니라 LG U+가 제출한 APPMM서버를 정밀 포렌식한 결과 익명 제보자가 공개한 자료와 다르다는 점도 확인됐다. 다만 조사단은 자료가 유출됐을 것으로 추정되는 또 다른 APPM서버는 지난 8월 1일 OS업그레이드 작업이 진행돼 침해 흔적 확인이 불가능한 상황이라고 밝혔다. 익명 제보자는 공격자가 협력사 해킹을 거쳐 LG U+로 침투했다고 주장했지만, 협력사 직원 노트북부터 LG U+ APPM 서버로 이어지는 네트워크 경로 사이의 핵심 서버가 지난 8월 12일부터 9월 15일 사이 OS 재설치 또는 폐기돼 조사가 불가능한 상태로 알려졌다.

정부는 LG U+가 관련 서버의 OS재설치 및 폐기 행위가 한국인터넷진흥원(KISA)이 침해사고 정황 등에 대해 안내가 이뤄진 후 이뤄졌다는 점을 고려해 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해 혐의로 경찰청에 수사를 의뢰했다. 이에 LG U+는 "경찰 조사를 성실히 임하겠다"고 말했다.


이재현 글로벌이코노믹 기자 kiscezyr@g-enews.com