굿모닝작전
정부가 KT와 LG유플러스가 정보유출 침해사고와 관련해 KT와 LG유플러스의 과실이 인정되고, 조사 과정에서 사건을 축소하려는 은폐 시도가 있었다고 밝혔다.
29일 과학기술정보통신부는 KT, LG유플러스 침해사고에 대한 민관합동조사단의 조사 결과와 KT의 이용약관상 위약금 면제 규정에 대한 검토 결과를 발표했다.
먼저 합동조사단은 KT의 펨토셀 관리 전반의 보안 실태 조사와 경찰 압수물 정밀 분석, KT 전체 서버 약 3만3천대를 대상으로 악성코드 감염여부를 점검했다.
점검 결과 무단 소액결제로 인한 피해는 인원 368명, 금액 총 2억4,300만원이었으며, 감염서버는 총 94대, 악성코드 총 103종, 2만2,227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호가 유출된 것을 확인했다.
이번 침해사고는 지난 9월 경기 광명시와 서울 금천구 등에서 소액결제 피해가 연이어 발생한 건이다. 당시 새벽 시간대 모바일 상품권과 교통카드 결제가 무단으로 이뤄졌으며 해커들이 불법 초소형 기지국(펨토셀)을 설치해 KT 내부망에 접속하고 인증 과정에서 이용자 정보를 가로챈 것으로 드러났다.
조사단은 이번 사고는 KT의 펨토셀 보안 관리 부실로 인해 불법 펨토셀의 접속이 허용됐고, 통신 암호화 해제, 정보보호 활동도 미흡했다고 지적했다. 이에 재발방지를 위해 펨토셀 보안관리 강화, 통신 암호화 설정 강화, 보안장비 도입 및 로그 보관기간 연장, CISO 중심 거버넌스 체계 확립 등이 필요하다고 강조했다.
뿐만 아니라 이번 유출 사고로 인해 위약금 면제 규정이 적용되는지 여부에 대해서는 KT의 과실이 있어 위약금 면제가 가능하다고 판단했다.
조사단은 펨토셀 관리 부실로 불법 펨토셀이 언제, 어디서든 KT망에 접속할 수 있었으므로 KT는 이번 침해사고에 과실이 있는 것으로 결론 내렸다.
과기부 관계자는 "KT는 펨토셀 보안 관리를 통해 전체 이용자에게 안전한 통신서비스를 제공해야 할 의무를 다하지 못한 것으로 판단된다"며, "KT 과실이 발견된 점, KT가 계약상 주된 의무를 다하지 못한 점 등을 고려 시, 위약금 면제 규정이 적용 가능하다고 본다"고 밝혔다.
한편, KT가 자체적으로 수행한 보안점검 과정에서 웹셸 및 BPFDoor 등 악성코드를 발견하고도 정보통신망법에 따른 침해사고 신고를 하지 않고 자체적으로 조치한 사실도 드러났다.
정보통신망법에 따라 침해사고가 발생하면 이를 인지한 후 24시간 이내 신고해야하나 KT는 발생 사고에 대해 지연신고를 하거나, 신고 자체를 하지 않았다. 과기부는 이 사안에 대해 정보통신망법에 따라 과태료를 부과할 예정이다.
또한 사건 축소와 조사 방해행위도 있었다.
KT는 프랙 보고서에 제보된 침해 정황 서버와 관련해 8월 1일에 서버를 폐기하였다고 답변했으나 조사단에 폐기 시점을 허위 제출하고, 폐기 서버 백업 로그가 있음에도 불구하고 이를 보고하지 않았다. 이에 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법 제137조(위계에 의한 공무집행방해)에 따라 수사기관에 수사를 의뢰했다.
LG유플러스의 유출 사고는 사안이 보다 심각했다.
조사단은 LG유플러스가 이번 유출 사고를 은폐하려는 목적이 뚜렷했다며 강력 대응하겠다고 밝혔다.
지난 7월 18일 한국인터넷진흥원(KISA)는 익명의 제보자로부터 LG유플러스의 자료 유출 관련 정보를 입수하고, 다음 날 LG유플러스에 관련사항을 공유하고 침해사고 신고를 안내했다.
이후 8월 미국 보안 전문지 '프랙(The Phrax)'에서 해커가 LG유플러스 내부망에 침투해 8,938대의 서버 정보와 4만2,256개 계정 데이터를 탈취했다는 사실이 알려졌다.
당시 LG유플러스는 "유출은 확인됐지만 침해 정황은 없다"며 신고를 미루다 10월에서야 한국인터넷진흥원(KISA)에 뒤늦게 보고했다.
과기부는 자체 조사단을 구성해 8월25일부터 LG유플러스의 현장 조사를 실시했고, 이후 LG유플러스가 10월23일 KISA에 침해사고를 신고한 후 조사단을 구성했다고 밝혔다.
조사결과 익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 APPM 서버 접근제어 솔루션과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 실제 LG유플러스에서 유출된 것으로 드러났다.
다만 조사단은 LG에서 제출받은 서버를 정밀 포렌식한 결과, 익명의 제보자가 공개한 자료와 다른 점을 확인했다. 자료가 유출되었을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없었다.
제보자는 공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 침투했다고 주장했다.
조사단은 이 주장에 대해서도 확인을 시도했지만 협력사 직원 노트북부터 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능했다고 설명했다.
이에 과기부는 LG유플러스의 OS 재설치 및 폐기 행위가 KISA가 침해사고 정황을 안내한 이후에 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다.
배경훈 부총리 겸 과학기술정보통신부 장관은 “이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라면서, “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했다.
관련뉴스
