KT 침해사고 민관합동조사단 중간조사결과, BPFDoor 악성코드 은폐 정황 추가 확인
지난 6일, KT 침해사고 민관합동조사단은 "불법 펨토셀에 의한 소액결제 및 개인정보 유출사고에 대해서는 ▲펨토셀 관리와 내부망 접속 내부망 접속 인증 관리를 부실하게 한 문제 ▲그로 인해 종단 암호화가 해제될 가능성이 있는 문제 ▲과거 악성코드 침해사고가 발생하였는데 이를 신고하지 않고 자체처리를 한 문제 ▲침해사고 신고가 지연된 문제가 있었음을 지적"했다.
또한," 국가배후 조직에 의한 KT 인증서 유출 정황에 대해서는 ▲KT가 관련 서버를 부처에 허위 제출하고, 폐기 서버 백업 기록이 있음에도 이를 보고하지 않은 문제가 있었고, "KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고에 대해서는 ▲부처에 지연신고한 문제가 있었다"고 밝혔다.
입법조사처 ‘위약금 면제 검토 결과’, KT 과실정도・이용자 주된 의무 위반 중대성 더 커져
최민희 과방위원장실이 국회 입법조사처로부터 받은 회답서에 따르면, KT 전고객 위약금 면제 가능 여부를 묻는 요청에 ① 침해사고 과실 여부, ② 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반하였는지 여부를 기준으로 판단했다.
① 침해사고 과실여부에서 펨토셀에 대한 관리가 매우 미흡하였고, 모든 펨토셀이 동일한 인증서를 사용하도록 설계되어 있어 불법 펨토셀도 손쉽게 KT 코어망에 접속할 수 있었으며, 인증서 유효기간이 10년으로 설정되어 있어 한 번 접속되면 장기간 코어망이 접근 가능함을 근거로 인증과정에서의 검증 절차가 사실상 부재하였고, 중요정보에 대한 보안관리 역시 적절하게 수행되지 않아 코어망 접근 통제가 구조적으로 취약한 상태였음을 지적했다.
이와 같은 일련의 사정을 고려했을 때, KT가 코어망 및 기지국에 대한 관리를 소홀히 하였으므로 침해사고에 대한 과실을 배제하기 어려워보인다고 했다.
② 이용자에게 통신서비스를 제공하는 데 있어 주된 의무를 위반하였는지 여부에 대해서는 코어망에 대한 접속・인증 관리는 안전한 통신서비스 제공에 있어 매우 중요한 부분인데 KT가 이를 위반하였고, 이로 인해 계속적 계약에서 중요한 이용자와 통신사 간의 신뢰관계가 훼손되었다고 볼 측면이 존재함을 밝혔다.
덧붙여 통신사의 코어망은 핵심 인프라로 이에 대한 안전성은 통신서비스 제공의 본질적 의무라고 할 수 있으며 종단 암호화가 해제될 수 있는 위험을 만들어 ARS・SMS와 같은 인증정보를 평문으로 취득할 위험성이 존재했다는 점은 ‘안전한 통신서비스 제공’이라는 KT의 주된 계약상 채무를 다하지 못하였다고 평가했다.
또한, 개인정보가 저장된 서버가 악성코드에 감염되었음에도 신고하지 않아 유출 여부를 객관적으로 조사・검증 기회를 상실시켜 이용자의 개인정보 유출 여부를 확인할 수 없는 것으로 보이는 등 이용자 보호를 위한 기본적 보안관리 체계를 충실히 유지하지 않았고, 문제되는 서버를 폐기하고 폐기 시점을 정부부처에 허위 제출하는 등 조사를 곤란하게 하는 조치로 협조 의무를 다하지 않았는데, 이러한 대응은 안전한 통신서비를 제공하려는 조직적 의지의 결여로도 해석할 수 있다고 했다.
이러한 점들을 종합하여 볼 때, KT는 ‘안전한 통신서비스 제공’이라는 주된 채무를 다하지 못하였고, 이에 대한 이용자와의 신뢰 관계가 훼손되었다고 평가할 요소가 존재한다고 했다.
다만, 이전 회답과 같이 SKT 사건에 비해 가입자식별번호 유출 규모가 작은 점, 소액결제 피해 금액을 실제로 청구하지 않고 면제조치를 취한 점이 주된 의무 위반성을 판단할 때, 고려할 수 있으며 최종 조사 및 수사 결과에 따라 고의성, 중과실 등에 대한 판단이 필요해보인다고 했다.
최민희 위원장은 “이번 민관합동조사단 중간조사결과 발표의 핵심은 KT의 자진신고로 밝혀진 것이 아닌 민관합동조사단의 조사를 통해 BPFDoor 악성코드 감염사실을 알아내고 자백을 받아냈다는 점”이라면서 “아직도 KT 경영진은 민관합동조사단의 조사에 적극적으로 협조하지 않으며 침해사고를 은폐하고 있음이 드러난 만큼 과기부는 위약금면제 등 강도 높은 행정조치를 통해 이를 바로잡아야할 것”이라며 과기부의 적극적인 조치를 촉구했다.
댓글
(0)