KT 침해사고, 정부 위약금 면제 가능 판단

정부, KT 침해사고 과실 인정 및 위약금 면제 가능성 발표

과학기술정보통신부는 2025년 4월 29일, KT와 LG유플러스에서 발생한 침해사고에 대한 민관합동조사단의 최종 조사 결과를 발표했다. 이번 조사에서 KT의 보안 관리 부실과 계약상 의무 불이행이 확인되어, KT에 대해 이용약관상 위약금 면제 규정을 적용할 수 있다는 판단을 내렸다.

KT 침해사고 조사 결과 상세

지난해 9월 8일, KT는 소액결제 피해자의 통화기록 분석을 통해 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원에 침해사고를 신고했다. 이에 과기정통부는 사고의 심각성과 공격 방식을 면밀히 분석하기 위해 다음날 조사단을 구성했다.

조사 결과, 불법 펨토셀로 인해 2만 2227명의 가입자 식별번호, 단말기 식별번호, 전화번호가 유출되었으며, 368명이 무단 소액결제로 약 2억 4300만 원의 피해를 입은 것으로 확인됐다. 다만 2024년 7월 31일 이전의 피해 여부는 데이터 부재로 확인이 어려웠다.

또한, KT 서버 94대에서 'BPFDoor'와 '루트킷' 등 103종의 악성코드 감염이 확인되었으며, 이 정보는 백신 업체, 경찰청, 국정원 등 주요 기관에 즉시 공유되어 피해 확산 방지에 활용되고 있다.

KT의 보안 관리 문제점과 개선 권고

조사단은 KT가 펨토셀 보안 관리에 있어 인증서, 통신사 인증서버 IP, 셀ID 보안 정책을 마련하지 않았고, 시큐어 부팅 기능 미구현, 인증서버 IP 관리 미흡, 이상징후 모니터링 부재 등 기술적 조치가 부족했다고 지적했다. 또한, 통신 암호화가 제대로 이루어지지 않아 불법 펨토셀을 통한 종단 암호화 해제가 가능했던 점도 확인했다.

이에 따라 KT는 보안 솔루션 확대 도입, 제로트러스트 보안 모델 적용, 정기적인 보안 취약점 점검, 펨토셀 인증 및 제품등록 시스템에 방화벽 도입, 로그 기록 보관 및 중앙 관리 시스템 구축 등 전사적 보안 강화 조치를 시행해야 한다.

법적 제재 및 향후 계획

과기정통부는 KT가 침해사고를 인지하고도 신고를 지연하거나 하지 않은 점에 대해 정보통신망법 위반으로 과태료 부과를 예고했다. 또한, 정부 조사 방해 정황이 있어 형법상 공무집행 방해 혐의로 수사기관에 수사를 의뢰했다.

KT는 내년 1월까지 재발 방지 대책 이행 계획을 제출하고, 정부는 이행 여부를 점검할 예정이다. 필요 시 정보통신망법 개정을 통한 제재 강화 등 제도 개선도 추진한다.

LG유플러스 침해사고 조사 결과

LG유플러스의 경우, 2024년 7월 18일 익명의 제보를 통해 자료 유출 정황이 포착되었고, 8월 25일부터 현장 조사가 진행되었다. 10월 23일 LG유플러스가 공식 침해사고를 신고한 후 조사단이 운영되었다.

조사 결과, LG유플러스의 통합 서버 접근제어 솔루션과 연결된 정보가 실제 유출된 것으로 확인되었으며, 관련 서버의 OS 재설치 및 폐기 행위가 부적절한 조치로 판단되어 경찰청에 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다.

정부의 입장과 향후 방향

배경훈 과기정통부 부총리는 이번 KT와 LG유플러스 침해사고가 국가 핵심 기간통신망의 보안 허점을 드러낸 엄중한 사안임을 강조하며, 기업들이 국민이 신뢰할 수 있는 안전한 서비스 환경 조성을 경영의 핵심 가치로 삼아야 한다고 밝혔다.

또한, 정부는 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호 역량을 강화하고, 국민이 혁신적인 AI 서비스를 안심하고 이용할 수 있는 환경 조성에 최선을 다할 것이라고 덧붙였다.