[대전인터넷신문=세종/최대열기자] 과학기술정보통신부는 12월 29일 KT·LGU+ 침해사고 최종 조사결과를 발표하고 KT의 명백한 과실을 인정해 위약금 면제가 가능하다고 판단했지만, 소액결제 피해자에 대한 통지와 보상에 대해서는 구체적인 방안을 제시하지 않았다.

 KT의 펨토셀 보안 관리 부실로 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등 2만2,227명의 정보가 유출됐고 68명(777건)이 무단 소액결제로  2억4,300만 원의 피해를 입은 것으로 확인됐다. 사진은 기사의 이해를 돕기 위해 제작된 이미지임. [제작-대전인터넷신문]

과기정통부는 민관합동조사단의 조사 결과를 통해 국가 핵심 기간통신망에서 구조적인 보안 허점이 확인됐다고 밝혔다. 이번 조사는 불법 펨토셀을 통한 개인정보 유출과 무단 소액결제 피해, 악성코드 감염 서버 운영 실태, 통신사의 사고 대응 적정성을 종합적으로 점검하는 방식으로 진행됐다.

조사 결과 KT는 펨토셀 보안 관리 부실로 불법 펨토셀이 내부망에 접속할 수 있었고, 이 과정에서 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 등 2만2,227명의 정보가 유출됐다. 또 368명(777건)이 무단 소액결제 피해를 입었으며, 피해 규모는 2억4,300만 원으로 확인됐다. 이는 KT가 앞서 자체 발표한 피해 규모와 동일한 수치다.

조사단은 KT 전체 서버 약 3만3천 대를 대상으로 악성코드 감염 여부를 점검한 결과, 94대 서버에서 BPFDoor와 루트킷 등 103종의 악성코드가 발견됐다고 밝혔다. 일부 서버는 로그 보관 기간이 1~2개월에 불과해 최초 침투 시점과 유출 여부를 확인하는 데 한계가 있었으며, 통신결제 관련 데이터가 남아 있지 않은 2024년 7월 31일 이전 기간에 대해서는 추가 피해 여부를 확인할 수 없다고 판단했다.

사고 원인으로는 펨토셀 인증서 장기 사용, 비정상 IP 차단 미흡, 형상정보 검증 부재 등 기본적인 보안 관리 실패가 지적됐다. 특히 불법 펨토셀을 통해 통신 종단 암호화가 해제될 수 있었던 구조적 문제로 인해, 소액결제 피해가 발생한 일부 가입자뿐 아니라 KT 전체 이용자가 문자·음성 통화 정보 탈취 위험에 노출됐던 것으로 조사단은 판단했다.

이에 따라 과기정통부는 이번 침해사고가 KT 이용약관상 ‘회사 귀책 사유’에 해당한다고 보고, 이용자가 계약을 해지할 경우 위약금 면제가 가능하다는 결론을 내렸다. 법률자문을 진행한 5개 기관 가운데 4곳이 KT의 과실을 인정하며 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

다만 이번 최종 발표에는 무단 소액결제 피해자에게 언제, 누가, 어떤 방식으로 피해 사실을 통지할지에 대한 내용과 보상·환급 기준, 절차, 일정 등 구체적인 피해구제 방안은 포함되지 않았다. 피해 규모 산출이 사후 데이터 분석을 통해 이뤄진 점을 고려하면, 상당수 가입자는 자신이 피해를 입은 사실조차 인지하지 못했을 가능성도 제기된다. 통신결제 기록이 남아 있지 않은 기간의 피해 여부 역시 확인이 불가능해, 통지 사각지대가 존재한다는 지적이 나온다.

한편 LG유플러스 침해사고와 관련해서는 익명 제보자가 주장한 일부 자료 유출 사실이 확인됐으나, 핵심 서버가 조사 과정에서 운영체제 재설치 또는 폐기돼 침해 경로와 범위를 특정할 수 없었다. 조사단은 LGU+가 허위 자료를 제출하고 조사 이후 서버를 폐기한 점을 문제 삼아 위계에 의한 공무집행 방해 혐의로 수사기관에 의뢰했다.

배경훈 부총리 겸 과기정통부 장관은 “이번 사건은 통신 인프라 전반의 보안 체계를 근본적으로 재점검해야 함을 보여준다”며 “기업은 정보보호를 경영의 핵심 가치로 삼아야 한다”고 강조했다.

KT 침해사고로 인한 과실 인정과 위약금 면제 가능성 판단은 내려졌지만, 소액결제 피해자에 대한 통지와 실질적인 보상 대책은 여전히 공백으로 남아 있다. 피해 사실조차 모르는 가입자가 있을 수 있다는 점에서, 정부의 추가 점검과 통신사의 책임 있는 후속 조치가 뒤따를지 주목된다.

<무단전재 및 재배포금지> 최대열기자