정부 "KT, 모든 이용자 위약금 면제 조치 필요… LGU+ 수사 의뢰"

KT·LGU+ 침해사고 조사 결과
펨토셀 관리부실 등 KT 과실 판단
2만2227명·2억4300만원 피해
30일 이사회서 보상안 결론날 듯
LGU+ 서버 폐기로 조사 불가능

서버 악성코드 감염으로 개인정보 유출 사태를 겪은 KT에 대해 정부가 모든 이용자들을 대상으로 위약금 면제 조치 시행이 필요하다고 판단했다. KT의 펨토셀 관리 부실, 안정적 통신 서비스 미제공 등 과실로 가입자 정보가 유출되고 소액결제 피해가 발생한 데 따른 것이다. LG유플러스에 대해서는 침해사고 관련 자료제출 과정에서 허위 자료를 내고 서버를 폐기해 공무집행방해로 경찰청에 수사를 의뢰했다.

■5개 로펌 중 4개기관 KT 과실 판단

류제명 과학기술정보통신부 제2차관은 29일 정부서울청사에서 KT·LG유플러스 침해사고 최종 조사 결과 브리핑을 열고 "KT 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고 368명이 무단 소액결제로 2억4300만원 규모의 피해가 발생했다"며 이같이 말했다.

KT는 지난 9월 8일 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 이에 과기정통부는 다음 날인 9일 조사단을 구성했다.

류 차관은 "조사 결과 불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었으며, 이용자 단말기와 KT 내부망 사이 구간의 송수신되는 정보는 종단 암호화가 이뤄졌어야 하지만 불법 펨토셀에 의해 종단 암호화 해제가 가능했다"고 말했다.

이에 과기정통부는 KT가 '전체 이용자'를 대상으로 위약금을 면제해야 한다고 판단했다. 류 차관은 "KT가 정보통신망법상 안전한 통신서비스를 제공할 의무를 다하지 못했고, 이는 약관상 위약금을 면제해야 하는 회사 귀책사유에 해당한다"고 설명했다. 과기정통부가 5개 로펌에 법률 자문을 거친 결과 4개 기관에서 이번 침해사고를 KT의 과실로 판단해 위약금 면제 규정을 적용할 수 있다고 의견을 제시했다.

■"LG유플러스, 공무집행방해"

LG유플러스에 대해 과기정통부는 익명의 제보자가 보안 전문지 프랙을 통해 밝힌 침해 정황과 관련, 지난 8월 25일부터 현장조사를 시작했다. 다만 시스템에 운영체제(OS)가 재설치되고 서버가 폐기돼 사실상 조사가 불가능했다는 게 과기정통부 측의 설명이다. 류 차관은 "관련 서버를 포렌식하려고 했지만 운영체제(OS) 재설치와 서버 폐기 등으로 원활한 조사가 불가능했다"며 "이에 위계에 의한 공무집행방해로 지난 9일 경찰청에 수사를 의뢰했다"고 설명했다.

이어진 질의응답에서 이번 사태는 SKT 유심 교체와 달리 분명한 조치가 없어 이용자들의 불안이 커질 수 있다는 지적이 제기되자 류 차관은 "SKT는 유심 정보가 유출됐다는 특징이 있어 유심을 교체했던 것이다. 조사 과정에서 발견된 취약점에 대한 보안 조치를 통해 더 이상 불법 펨토셀에 의한 망 침투 가능성은 없다고 판단한다"고 전했다.

KT측은 조사 결과에 대해 "민관합동조사단 결과 발표를 엄중하게 받아들이며 고객 보상과 정보 보안 혁신 방안이 확정되는 대로 조속히 발표할 예정"이라고 밝혔다. 30일 열리는 이사회에서 보상과 위약금 면제방안 등에 대한 결정이 이루어질 예정이다. LG유플러스 측은 "경찰 수사에 성실히 임하겠다"고 말했다.

kaya@fnnews.com 최혜림 기자