2만2000명 개인정보 유출·소액결제 피해 약 2억5천만원
과기부 "KT 침해사고 철저 조사 진행, 위약금 면제 검토"
[HBN뉴스 = 이동훈 기자] KT가 내부망에 불법 소형 기지국(펨토셀)이 접속하는 보안 허점을 방치한 채, 악성코드 감염과 침해사고를 제때 신고하지 않았던 것으로 드러났다. 민관합동조사단은 6일 발표한 중간 조사결과를 통해 KT가 통신 인증서 관리 부실과 신고 지연으로 정보통신망법을 위반한 정황이 확인됐다고 설명했다.
조사단에 따르면 KT는 등록되지 않은 불법 펨토셀이 자사 핵심망에 접속해 평문(암호화되지 않은 상태)의 인증정보를 탈취당했다. 이로 인해 2만2227명의 가입자 IMSI·IMEI·전화번호가 외부로 유출됐으며, 368명은 2억4319만 원 규모의 소액결제 피해를 입은 것으로 조사됐다.
 |
| 최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. [사진=연합뉴스] |
KT는 통신기록이 남아있는 2024년 8월부터 2025년 9월까지 약 4조 건의 접속 이력과 1억5000만 건의 결제 데이터를 분석했으나, 8월 이전 피해 규모는 확인이 불가능한 상황이다.
KT가 납품받은 모든 펨토셀이 동일한 인증서를 공유하고 유효기간을 10년으로 설정해 둔 점도 문제가 됐다. 인증서가 한 번이라도 유출되면 불법 기지국이 KT망에 자유롭게 접근할 수 있는 구조였던 셈이다. 제조사 측은 셀ID, 인증서, KT 내부 IP 등 주요 정보를 외주업체에 별다른 보안관리 없이 넘겼고, 저장장치에서도 해당 정보를 손쉽게 확인할 수 있었다.
KT는 내부망 인증 과정에서도 외부나 해외 IP를 차단하지 않았으며, 기지국의 고유번호나 설치 지역 등 형상정보가 실제 등록된 장비와 일치하는지 검증 절차도 거치지 않았다. 이에 정부는 9월 이후 ▲신규 펨토셀 접속 전면 제한, ▲인증서 유효기간 10년→1개월 단축, ▲형상정보 기반 접속 검증, ▲기기별 개별 인증서 발급 등의 긴급조치를 취했다.
조사단은 KT 시험망 실험을 통해 불법 펨토셀이 단말기와 코어망 간 종단 암호화를 해제할 수 있으며, 이 구간에서 인증정보(ARS·SMS)가 평문으로 송수신되는 사실을 확인했다.
또 KT는 올해 3월부터 7월 사이 BPFDoor와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리했다. 일부 서버에는 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다. 정보통신망법상 침해사고 미신고는 3000만 원 이하 과태료 부과 대상이며, 조사단은 해당 사안을 중대하게 보고 있다.
이른바 ‘프랙 보고서’(8월 8일)에 언급된 국가배후 조직의 인증서 유출 의혹과 관련해서도 KT의 고의 은폐 정황이 포착됐다. KT는 한국인터넷진흥원(KISA)에 “8월 1일 서버를 폐기했다”고 보고했지만, 실제로는 8월 1일과 6일, 13일에 걸쳐 순차 폐기한 것으로 조사됐다. 또한 백업 로그가 존재했음에도 이를 9월 18일까지 보고하지 않았다. 조사단은 정부 조사를 방해한 것으로 판단해 형법 제137조(위계에 의한 공무집행방해) 혐의로 10월 2일 수사기관에 수사의뢰했다.
KT는 9월 초 경찰로부터 무단 소액결제 피해 사실을 전달받고 내부 이상 통신패턴을 감지해 9월 5일 새벽 차단했음에도, 침해사고 신고는 9월 8일 오후 7시 16분에야 이뤄졌다. 이는 명백한 법정 신고 지연에 해당한다는 것이 조사단의 판단이다.
과학기술정보통신부는 “KT 침해사고에 대한 조사를 철저히 진행해 최종 결과를 국민에게 투명하게 공개할 것”이라며 “현재 확인된 소형 기지국 관리 부실, 악성코드 은폐, 신고 지연 등의 내용을 바탕으로 KT의 약관상 위약금 면제 사유 해당 여부를 검토 중”이라고 밝혔다.
조사단은 앞으로 압수된 불법 장비를 정밀 분석하고, 개인정보보호위원회와 합동으로 유출 경로를 추가 조사한 뒤 재발방지 대책을 마련해 발표할 예정이다.
[ⓒ HBN뉴스. 무단전재-재배포 금지]
