과기정통부는 KT·LGU+ 침해사고 조사 결과를 브리핑했다. KT의 펨토셀 관리 체계는 전반적으로 부실해 불법 펨토셀이 내부망에 언제 어디서든 접속할 수 있었으며, 모든 펨토셀 제품이 동일한 제조사 인증서를 사용해 정상 펨토셀이 아니어도 KT 망에 접속할 수 있었다. 조사단은 KT가 인증 서버 IP를 주기적으로 변경하고 대외비 관리 등 보안 관리 개선을 요구했다.
KT는 악성코드뿐 아니라 웹셸도 발견하지 못해 보안 점검이 미흡했으며, 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지 분석하는 도구와 백신 등 보안 설루션 도입을 확대해야 한다고 요구했다. 조사단은 분기에 1회 이상 모든 자산에 대해 보안 취약점을 정기 점검하고, 운영 시스템 로그 기록을 최소 1년 이상 보관하며 중앙 로그 관리 시스템을 구축할 것을 촉구했다.
KT는 자산 종류, 규모, 운용 여부 등을 체계적으로 관리하지 않았고, 정보기술최고책임자CIO를 지정하고 정보기술 자산관리 설루션을 도입해야 한다고 지적했다. 과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고, 6월까지 이행 여부를 점검할 계획이다.
LGU+의 해킹 의혹은 익명의 화이트해커로부터 정보 유출이 지목된 통합 서버 접근제어 설루션APPM이 해킹당했으며, 서버 목록, 서버 계정정보 및 임직원 성명 등 관련 정보가 실제 유출된 것으로 확인됐다. 그러나 LGU+가 사고 정황을 안내한 후 서버 운영체계OS를 재설치 또는 폐기하며 구체적인 침해 내용이 드러나지 않았다.
과기정통부는 LGU+가 조사를 방해했다고 보고, 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰했다. 조사단은 약관에 명시된 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 규정에 부합하며, 평문의 문자, 음성 통화가 제3자에게 새어나갈 위험성은 전체 이용자에 해당한다고 판단했다.
조사단이 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과, 4곳에서 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 법적 판단을 전달했다. 과기정통부는 KT가 위약금 면제 조치를 SKT의 사례에 준해 적용할 것으로 보고 있다. SKT는 사고 최종 조사 결과가 발표된 지난 7월 4일을 기준으로 열흘간 침해 사고 이후 해지한 고객을 포함해 위약금 면제를 적용한 바 있다.
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com