[FETV=신동현 기자] 과학기술정보통신부(이하 과기정통부)가 KT와 LG유플러스에서 발생한 침해사고에 대한 최종 조사 결과를 29일 발표했다. KT의 경우 펨토셀 관리 부실로 인한 명백한 과실이 확인돼 이용약관상 위약금 면제 규정 적용이 가능하다고 밝혔다. LG유플러스에 대해서는 허위자료 제출과 서버 폐기 등 '공무집행 방해죄' 혐의로 수사 의뢰 조치했다고 전했다.

KT 침해사고에 대해서는 펨토셀 관리 전반의 보안 실태 조사와 함께 경찰 압수물에 대한 정밀 분석, KT 전체 서버 약 3만3000대를 대상으로 한 악성코드 감염 여부 점검이 병행됐다. 조사 결과 무단 소액결제 피해는 총 368명, 피해 금액은 2.43억원으로 집계됐으며, 감염 서버는 94대, 확인된 악성코드는 103종에 달했다. 이 과정에서 가입자 식별 정보인 IMSI·IMEI와 전화번호 등 총 2만2227명의 정보가 유출된 사실도 확인됐다.

사고 원인으로는 펨토셀 보안 관리 부실이 지목됐다. 불법 펨토셀이 KT 망에 접속할 수 있도록 허용된 점, 통신 암호화가 해제된 상태로 운영된 점, 전반적인 정보보호 활동이 미흡했던 점 등이 문제로 드러났다. 특히 펨토셀 관리가 제대로 이뤄지지 않아 불법 장비가 시간과 장소에 관계없이 KT 망에 접속할 수 있었던 구조적 취약성이 확인됐다고 설명했다.

이에 따라 과기정통부는 KT의 이용약관상 위약금 면제 규정 적용 여부도 함께 검토했다. 과기정통부는 펨토셀 관리 부실로 인해 사고가 발생한 점에서 KT의 과실이 인정되고 전체 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다고 판단했다. 이러한 사정을 종합할 때 이번 침해사고는 위약금 면제 규정 적용이 가능하다는 결론을 내렸다.

재발 방지 대책으로는 펨토셀 보안 관리 강화와 통신 암호화 설정 강화, 보안 장비 도입 및 로그 보관 기간 연장, CISO 중심의 정보보호 거버넌스 체계 확립 등을 제시했다.

LG유플러스 침해사고 건에 대해서는 익명 제보자가 제기한 침해사고 정황에 대한 사실관계 확인 차원에서 진행됐으나 조사 과정에서 LG유플러스가 허위자료를 제출하고 관련 서버를 폐기한 사실이 확인돼 사고 여부 자체를 검증하는 것이 불가능했다고 설명했다.

이에 과기정통부는 이 같은 행위가 조사 업무를 방해한 것으로 보고 LG유플러스에 대해 위계에 의한 공무집행 방해 혐의로 수사 의뢰 조치를 했다고 밝혔다.

과기정통부는 이번 조사 결과를 통해 통신사 보안 관리 책임을 다시 한 번 강조하며 향후 유사 사고 발생 시 엄정 대응 기조를 유지하겠다는 방침이다.