과학기술정보통신부는 29일 민관합동조사단의 최종 조사 결과를 발표하고, KT 서버 3만3천대를 6차례 점검한 결과 94대가 악성코드 103종에 감염됐다고 밝혔다. 이는 SKT의 사고에서 확인된 33종 악성코드보다 약 3배에 달하는 규모로, 통신사 해킹 사례 중 역대 최악 수준으로 지목된다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실하다고 판단했으며, 모든 펨토셀에 동일한 제조사 인증서를 사용한 탓에 인증서 복제가 가능해 누구든 KT 망에 무단 접속할 수 있었다고 밝혔다. 타사나 해외 IP를 차단하는 장치도 없었고, 접속 정보의 정상성 검증 체계도 부재했다.
불법 펨토셀에 대한 포렌식 분석 결과, 범죄 조직이 KT 망 접속에 필요한 인증서 및 인증 서버 IP 정보를 확보하고, 해당 기지국을 거쳐 가는 트래픽을 가로채 제3의 장소로 전송했다는 점이 드러났다. 이 과정에서 암호화가 해제되며 ARS와 SMS 등 결제 인증 정보가 탈취됐다.
이에 따라 국제이동가입자식별정보IMSI, 국제단말기식별번호IMEI, 전화번호 등 2만2227명의 개인정보가 유출됐고, 무단 소액결제 피해자는 368명, 피해액은 총 2억4300만원에 달한다.
과기정통부는 KT가 약관에 명시된 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 규정에 부합한다고 판단했으며, 평문 문자와 음성 통화가 제3자에게 유출될 위험성이 전체 이용자에게 노출됐다고 봤다.
조사단이 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과, 4곳에서 KT가 안전한 통신 서비스 제공이라는 계약상 주요 의무를 위반했다고 판단했다.
과기정통부는 KT에 전 이용자를 대상으로 위약금 면제 조치를 요구했으며, 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고, 6월까지 이행 여부를 점검할 계획이다.
KT는 “민관 합동 조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정”이라고 밝혔다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com