과학기술정보통신부는 KT와 LGU+의 사이버 침해 사고에 대한 조사 결과를 발표했다. KT는 악성코드와 웹셸 탐지 미흡으로 인해 안전한 통신 서비스 제공 의무를 위반했다고 판단했다. 조사단은 KT의 펨토셀 관리 체계가 부실해 불법 펨토셀이 내부망에 언제 어디서든 접속할 수 있었으며, 모든 펨토셀 제품이 동일한 제조사 인증서를 사용해 타사 또는 해외 IP를 차단하지 않았다고 확인했다. KT는 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 개선을 요구받았다. 과기정통부는 KT의 보안 조치 총체적 미흡이 약관에 명시된 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 규정에 부합한다고 판단했다. 조사단은 로펌 등 5개 기관의 법률 자문을 통해 KT가 안전한 통신 서비스 제공 계약의 주요 의무를 위반했다는 법적 판단을 받았다. SKT는 2024년 7월 4일 기준으로 침해 사고 이후 해지 고객을 포함해 위약금 면제를 적용한 사례를 따랐다. 과기정통부는 KT에 재발 방지 이행 계획을 2025년 1월까지 제출하도록 하고, 2024년 6월까지 이행 여부를 점검할 계획이다. LGU+는 통합 서버 접근제어 설루션APPM이 해킹당했고, 서버 목록, 계정정보, 임직원 성명 등 정보가 실제 유출된 것으로 확인됐다. 그러나 LGU+가 사고 정황을 안내한 후 서버 운영체계를 재설치 또는 폐기하며 구체적인 침해 내용이 드러나지 않았다. 과기정통부는 LGU+가 조사를 방해했다고 보고, 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰했다.
제목: 과기정통부, KT·LGU+ 사이버 침해 조사 결과 발표
@Meerae AI 빅데이터 연구소 meerae.info@gmail.com