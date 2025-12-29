110여일 조사에도… 정부 “KT 개인정보 유출 경로 확인 불가능”
민관합동조사단, KT 침해사고 조사결과 발표
“전체 가입자 위약금 면제 적용 가능”
펨토셀 관리 부실이 원인… 결제 필요한 정보 유출 경위는 규명 못해
정부가 KT 무단 소액결제 사고와 관련해 KT 전체 가입자 대상 위약금 면제 규정을 적용할 수 있다는 결론을 내렸다. 사고 원인에 대해서는 불법 소형 기지국(펨토셀) 관리 부실에서 비롯됐다는 점을 다시 한번 확인했지만, 소액결제에 필요한 개인정보가 유출된 경위에 대해서는 끝내 규명하지 못했다.
과학기술정보통신부는 KT 침해사고에 대한 민관합동조사단 조사 결과를 29일 발표했다. 무단 소액결제는 불법 펨토셀로 인한 침해 사고로 발생했으며, 368명이 2억4319만원의 피해를 입었다는 내용이다. 또 2만2227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호가 유출됐다.
그러나 실제 결제에 필요한 이름과 전화번호 등 개인정보가 어떻게 탈취됐는지는 파악하지 못했다. 조사단은 “일부 감염 서버에 개인정보(이름·전화번호·이메일 등)가 저장돼 있으나, 정밀 분석 결과 로그 기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다”고 밝혔다. 이어 “KT의 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템 로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안 장비 없이 운영해 로그 분석에 한계가 있었으며, 로그 기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했다”고 부연했다.
조사단은 최종적으로 공격자가 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정하고, 피해자의 개인정보로 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 했다고 결론 내렸다.
공격자가 불법 펨토셀에 접속한 피해자의 통신 암호화를 무력화한 것은 KT가 암호화 설정을 지원하지 않아 발생한 피해로 조사됐다. 특히 아이폰 16 이하 등 일부 단말에서는 KT가 암호화 설정 자체를 지원하지 않아 문자 메시지(SMS)가 평문으로 전송되는 문제가 있었다. 이에 정부는 KT에 정보보호 활동 강화와 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하는 등 거버넌스 체계 재편을 당부했다.
정부는 이와 함께 펨토셀 관리 부실이 KT의 이용 약관상 위약금이 면제되는 사유에 해당한다고 판단했다. 조사단은 “KT는 펨토셀 관리 전반이 부실해 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었고 불법 펨토셀과 연결된 이용자 단말기에서 송·수신되는 문자와 음성통화 정보 탈취가 가능했던 사실이 확인됐다”며 “이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용 약관상 위약금을 면제해야 하는 회사의 귀책 사유에 해당한다고 판단한다”고 말했다.
조사단은 LG유플러스의 정보 유출 사건에 대해서는 주요 서버가 폐기돼 조사가 불가능하다고 밝혔다. LG유플러스가 주요 서버를 폐기한 행위에 대해서는 지난 9일 위계에 의한 공무집행 방해로 경찰청에 수사를 의뢰했다.
심희정 기자 simcity@kmib.co.kr
