과학기술정보통신부는 29일 정부서울청사에서 KT 침해사고 최종 조사 결과를 발표했다. 민관 합동 조사단이 KT 서버 3만3천대를 6차례에 걸쳐 점검한 결과, 서버 94대가 악성코드 103종에 감염됐다. 이는 역대급 통신사 해킹 사건으로 지목된 SKT33종보다 감염 범위가 훨씬 더 광범위하다.
조사단은 BPF도어, 루트킷 등 악성코드가 2022년 4월부터 서버 파일 업로드 과정의 취약점을 통해 침투했으며, 방화벽 및 시스템 로그 기록이 남지 않아 공격 경로를 판단할 수 없다고 밝혔다.
또한 불법 초소형 기지국펨토셀이 통신망에 무단 접속해 IMSI, IMEI, 전화번호 탈취 피해를 본 이용자는 2만2천227명, 무단 소액결제 피해자는 368명, 피해액은 2억4천300만원으로 파악됐다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 내부망에 언제 어디서든 접속할 수 있었으며, 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 요구했다.
과기정통부는 KT 보안 조치의 총체적인 미흡이 약관에 명시된 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 규정에 부합한다고 판단했다.
또한 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과, 4곳에서 KT가 안전한 통신 서비스 제공이라는 계약 의무를 위반했다는 법적 판단을 전달했다.
과기정통부는 KT에 위약금 면제 조치를 SKT의 사례에 준해 적용할 것으로 보고 있으며, SKT는 사고 최종 조사 결과 발표 이후 열흘간 위약금 면제를 적용한 바 있다.
과기정통부는 KT에 재발 방지 이행 계획을 2026년 1월까지 제출하도록 하고, 6월까지 이행 여부를 점검할 계획이다.
KT는 “민관 합동 조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정”이라고 밝혔다.
LGU+는 당국에서 해킹 사고 정황을 안내한 이후 서버 운영체계OS를 재설치 또는 폐기했기 때문에, 과기정통부가 공무집행방해로 경찰청에 수사 의뢰했다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com