한국의 경제뉴스통신사 - NSP통신.

fullscreen

KT가 기자간담회를 통해 소액결제 피해 관련 브리핑을 하고 있는 모습. (사진 = 이복현 기자)

(서울=NSP통신) 이복현 기자 = 과학기술정보통신부가 29일 KT(030200)와 LG유플러스(032640) 침해사고에 대한 민관합동조사단 조사 결과와 KT 이용약관상 위약금 면제 규정 검토 결과를 발표했다.

조사단은 KT 펨토셀 관리 전반 보안 실태 조사, 경찰 압수물 정밀 분석, KT 전체 서버 약 3.3만대 악성코드 감염 여부 점검 등을 통해 피해 규모를 검증했다.

그 결과 불법 펨토셀 관련 침해사고로 가입자 식별번호(IMSI)·단말기 식별번호(IMEI)·전화번호 22227명 유출과 무단 소액결제 피해 368명(777건) 2.43억원을 확인했다. 악성코드 감염과 관련해서는 감염 서버 94대, 악성코드 103종이 확인됐다.

사고 원인으로는 펨토셀 보안 관리 부실로 불법 펨토셀 접속이 허용된 점, 통신 암호화 해제 가능성, 정보보호 활동 미흡 등이 지목됐다. 재발방지 대책으로는 펨토셀 보안관리 강화, 통신 암호화 설정 강화, 보안장비 도입과 로그 보관기간 연장, CISO 중심 거버넌스 체계 확립 등이 제시됐다.

위약금 면제 적용 여부와 관련해 과기정통부는 펨토셀 관리 부실로 불법 펨토셀이 언제 어디서든 KT망에 접속할 수 있었던 점 등을 근거로 KT의 과실을 인정했고, 안전한 통신서비스 제공이라는 계약상 주된 의무를 다하지 못한 것으로 판단했다.

이에 따라 KT 이용약관상 ‘기타 회사의 귀책 사유’에 해당해 위약금 면제 규정 적용이 가능하다고 밝혔다. 법률 자문 5개 기관 중 4개 기관이 KT 과실과 주요 의무 위반을 근거로 면제 적용 가능 의견을 제시했고, 1개 기관은 정보 유출이 확인되지 않은 이용자에 대해서는 적용이 어렵다는 의견을 제시했다고 덧붙였다.

KT의 법 위반에 대해서는 침해사고 신고 지연·미신고에 따른 과태료 부과 방침을 밝혔고, 정부 조사 방해 정황은 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다고 설명했다.

과기정통부는 KT에 재발방지 대책 이행계획을 2026년 1월 제출하도록 하고 2026년 4월까지 이행 여부를 점검해 2026년 6월까지 확인할 계획이다.

LG유플러스 침해사고는 익명 제보에 대한 사실관계 파악 과정에서 허위자료 제출 및 서버 폐기 등으로 확인이 불가능하다고 결론냈다. 과기정통부는 LG유플러스에 대해 위계에 의한 공무집행 방해로 수사를 의뢰했다고 밝혔다.

배경훈 부총리 겸 과기정통부 장관은 “이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”라고 밝혔다.

NSP통신 이복현 기자(bhlee2016@nspna.com)

ⓒ한국의 경제뉴스통신사 NSP통신·NSP TV. 무단전재-재배포 및 AI학습 이용 금지.