KT 불법 펨토셀·암호화 허점 방치 '총체적 부실'…정부 "위약금 면제해야"(종합)

류제명 과학기술정보통신부 제2차관이 29일 오후 3시 정부서울청사에서 'KT/LGU+ 침해사고 조사 결과 관련 브리핑'을 하고 있다.ⓒ데일리안 조인영 기자

KT 침해사고와 관련해 정부가 KT의 총체적 보안 관리 부실로 판단했다. 불법 펨토셀 접속을 허용하고 통신 암호화 해제가 가능하도록 했으며 정보보호 활동도 미흡해 사태를 키웠다는 지적이다.

정부는 KT에 대해 정보통신망법 위반으로 과태료 부과를 예고하는 한편, 조사 과정에서 고의로 자료를 은폐한 정황을 포착해 경찰에 수사를 의뢰했다. 아울러 KT의 과실이 명백한 만큼 전 고객이 위약금 면제 대상이 된다고 판단했다.

LG유플러스 역시 자료 유출 의혹 조사 과정에서 허위 자료를 제출하고 서버를 폐기하는 등 조사를 방해한 혐의로 경찰 수사를 받게 됐다. 다만 사건이 경찰로 송치됨에 따라 정부 차원의 시정명령이나 과태료 부과 등의 행정 처분은 내려지지 않는다.

불법 펨토셀에 KT 내부망 뚫렸다…정부 “관리 체계 총체적 부실”

과학기술정보통신부는 29일 오후 3시 정부서울청사에서 'KT/LGU+ 침해사고 조사 결과 관련 브리핑'을 가졌다. 이 자리에는 류제명 제2차관, 과기정통부 최광기 사이버침해대응과장, 경기남부경찰청 이정수 사이버수사과장 등이 동석했다.

이번 KT 사태는 펨토셀 관리 체계 부실, 전반적인 관리 시스템 부재, 침해 사고 늑장 신고 등 복합적인 요인이 맞물렸다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다.

KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 정상 펨토셀이 아니더라도 내부망의 인증 서버로부터 KT 인증서를 발급받아 KT망에 접속할 수 있었다.

암호화 해제 방법에 대해 이동근 KISA 디지털위협대응본부장은 "종단 간 암호가 완료된 상태에서 해제하는 것은 기술적으로 굉장히 어렵다. 거의 불가능에 가까운 수준"이라며 "다만 IPsec이라는 암호 설정을 하는 초기 단계에서 불법 펨토셀이 방해하면, 암호 설정 없이 연결이 되는 것을 확인했다"고 설명했다.

이 본부장은 "해커는 KT망에서 단말이 암호 설정을 하려고 했을 때 중간에서 방해하면 암호 없이도 연결된다는 허점을 알고 범행에 사용한 것"이라고 덧붙였다.

KT 인증서의 유효기간이 10년으로 설정된 점 역시 문제로 지적된다. 과거 접속 이력이 있는 펨토셀이 제한 없이 망에 접속할 수 있었고, 결과적으로 정보 유출의 빌미를 제공했기 때문이다.

KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.

KT의 불법 펨토셀 접속 과정에서 피해자 통신의 종단 간 암호화가 적용되지 않아, 단말과 코어망 간 평문 통신이 가능했던 점도 문제로 지적됐다.

특히 일부 단말(아이폰 16 이하)의 경우, KT가 암호화 설정 자체를 지원하지 않아 문자 메시지(SMS)가 평문으로 전송된 사실이 드러났다.

이에 대해 이동근 KISA 디지털위협대응본부장은 "KT가 아이폰에 암호화 적용을 하지 않았던 건 여러 가지 이유가 있었다"면서 "통화 품질이라든지, 로밍 시에 어떤 서비스가 단절되거나 장애가 생기는 것에 대한 우려 때문이라고 우리에게 설명했지만 기본적으로 보안에 대해서는 간과한 면이 있었던 것 같다"고 설명했다.

이어 "종단 간 암호화가 해제됐을 때 공격자의 위협에 대해서 KT 측에서 간과한 면이 있었기에 이런 문제가 발생했다"면서 "KT에서 기술적으로 강제화하도록 지금 조치가 취해졌다"고 덧붙였다.

경기남부경찰청 이정수 사이버수사과장이 29일 오후 3시 정부서울청사에서 'KT/LGU+ 침해사고 조사 결과 관련 브리핑'을 하고 있다.ⓒ데일리안 조인영 기자

KT 침해사고, 로그 한계로 추가 유출 배제 못 해

KT의 전반적인 관리 시스템 역시 부실했다. 조사단은 이번 침해사고 조사 과정에서 KT가 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점, 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이뤄지지 않는 사실도 확인했다.

이 과정에서 정부는 KT가 무단 소액결제 관련 이상 통신 패턴을 인지해 조치하고, 외부 보안업체를 통해 침해 흔적을 확인했음에도 침해사고를 뒤늦게 신고했으며, 지난해 BPFDoor 등 악성코드를 발견하고도 신고하지 않은 점을 발견했다.

로그 기록이 남아 있는 기간에는 개인정보 유출 정황이 없는 것을 확인했으나, 기록이 남아 있지 않은 이전 기간에 대해서는 확인이 불가능해 추가 유출 우려가 제기된다.

류제명 차관은 "로그가 남아 있는 기간에 유출이 안 됐다는 건 확인됐지만 그 이전에도 안 됐다고 단정할 수는 없다는 것이 우리들 판단"이라며 "그런 한계를 이해해달라"고 말했다.

공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정했다. 이 과정에서 공격자가 개인정보를 어디서 획득했는지, KT 펨토셀 인증 미갱신 사실을 어떻게 인지했는지 등 핵심 사항은 여전히 규명되지 않았다.

류제명 차관은 "개인정보 유출 경로나 또 어떤 방식이 적용됐는지는 지금 민관합동조사단의 조사로는 한계가 있었다"면서 "개인정보보호위원회의 추가 조치를 살펴봐달라"고 말했다.

배후에 중국 해킹 그룹이 있다는 의혹에 대해서는 단정하기 어렵다고 했다. 류 차관은 "어떤 의심되는 국가 배후의 공격인지, 아니면 오픈소스화된 이후 공격자에 의한 공격인지는 단정하기는 어렵다"면서도 "조사 관련 상세 내용은 서로 공유하고 협조했다"고 답했다.

BPF도어 관련 공격 유사성이 SK텔레콤과 같은 것 아니냐는 지적에 대해 두 회사간 유사성은 있지만 동일 공격자인지는 단정하기 어렵다고 밝혔다.

이동근 KISA 디지털위협대응본부장은 "SKT BPF도어에서 세 가지 유형이 발견됐고 KT에서 비슷한 것이 나왔다. 그러나 코드를 정밀하게 분석했을 때 일치 여부를 판단하기에는 정보가 많이 부족했다. 동일 공격자로 단정짓기는 어려운 상황"이라고 답했다.

과기정통부 최광기 사이버침해대응과장이 29일 오후 3시 정부서울청사에서 'KT/LGU+ 침해사고 조사 결과 관련 브리핑'을 하고 있다.ⓒ데일리안 조인영 기자

KT 침해사고에 과태료 부과·위약금 면제

KT는 프랙 보고서에 제보된 침해 정황 서버와 관련해 8월 1일 서버를 폐기했다고 답변했으나, 조사단에 폐기 시점을 허위 제출(실제 : 8월 1일(2대), 8월 6일(4대), 8월 13일(2대))하고, 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다.

이에 정부는 조사를 방해하기 위한 고의성이 있다고 판단, 형법 제137조(위계에 의한 공무집행방해)에 따라 수사기관에 수사를 의뢰했다.

아울러 정보통신망법에 따라 과태료를 부과하기로 했다. 정보통신망법 제76조에 따르면 과태료는 3000만원 이하다.

정부는 이번 침해사고에서 ▲KT의 과실이 발견된 점 ▲KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 사태가 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.

위약금 면제 기간과 소급 적용 여부에 대해 류제명 과기정통부 제2차관은 "전체 이용자 대상 위약금 면제 사유에 해당한다"면서 "언제부터 소급 적용하고 얼마간의 기간을 갖는지는 KT가 소비자, 국민 눈높이에 맞춰 적절한 판단을 할 것"이라고 답했다.

SK텔레콤이 정보 유출 사고로 신규 영업 정지 행정명령을 받은 것과 달리, KT는 과태료와 위약금 면제 외 추가 행정 조치를 받지 않았다. 이에 대해 정부는 "사안이 달랐다"고 설명했다.

류제명 차관은 "SK텔레콤은 유심 재고가 충분하지 않고 부족한 상황이었다는 것이 확인됐다. 그럼에도 기존 가입자 유심 교체와 병행해 신규 가입자들을 모집하는 데 유심을 활용해 신규 가입에 유심을 사용하는 것을 정지했던 것"이라고 말했다.

그러면서 "징벌적인 행정조치로 신규 영업을 중단시킨 점이 아니었다"고 강조했다.

ⓒ과학기술정보통신부

LG유플러스, APPM 정보 유출 확인…서버 재설치·폐기로 정부 조사 종료

LGU+의 경우 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LGU+에서 유출된 것으로 확인했지만 자체적인 추가 조사가 불가능하다고 판단, 경찰에 수사를 맡겼다.

앞서 조사단은 LGU+에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LGU+의 자료와 상이함을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드(8월 12일) 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황임을 확인했다.

또한 협력사 직원의 노트북에서부터 LGU+의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기(8월 12일~9월 15일)돼 조사가 불가능한 상황인 것도 확인했다.

이동근 본부장은 "공개됐던 APPM 서버가 LG에서는 2대(액티브/스탠바이)가 있었다. 조사단 쪽에 1대를 제출했는데 정밀 분석하니 LG의 직원의 정보는 맞지만 운영체제라든지 약간 그런 시스템을 특정할 수 있는 정보들이 좀 달랐다"고 설명했다.

이어 "프랙 보고서에서 공개된 시스템을 우리한테 제출한 게 아니라 다른 백업용 시스템을 우리에게 제출한 것으로 판단했다. 2대를 LG가 그대로 뒀으면 조사를 할 수 있는데 1대를 OS를 다 새로 설치해 우리가 추가적으로 원인 분석을 할 수 없었던 케이스였다"고 덧붙였다.

그러면서 수사가 경찰로 넘어가면서 조사단 조사는 종료한다고 밝혔다. 최우혁 과기정통부 네트워크정책실장은 "LG는 10월 23일 신고가 들어오고 난 뒤 조사를 했다. 더 이상 조사를 진행할 부분이 없어 KT 케이스처럼 (경찰) 수사 의뢰로 종료가 된다고 보면 된다"고 말했다.

LG유플러스에 대한 시정명령, 과태료 여부에 대해서도 "현재로서는 없다"고 밝혔다.