정부가 KT의 심각한 보안 관리 부실을 이유로 들며 모든 이용자들이 계약 해지를 요구할 때 위약금 면제 조치를 요구했다. 과학기술정보통신부는 29일 정부서울청사에서 열린 브리핑에서 KT 침해 사고 최종 조사 결과를 발표하며 “KT가 안전한 통신 서비스를 제공할 의무를 다하지 못했다”고 밝혔다.

민관합동조사단이 KT 서버 3만3000대를 6차례에 걸쳐 점검한 결과, 94대 서버에서 103종의 악성코드가 발견됐다. 이는 SK텔레콤 해킹 사고 당시 확인된 악성코드 33종보다 훨씬 광범위한 수준이다. 특히 KT는 지난해 3월 감염 사실을 인지하고도 정부에 신고하지 않은 채 41대 서버를 자체 조치해 피해 파악이 지연된 것으로 드러났다.

악성코드는 2022년 4월부터 서버 파일 업로드 취약점을 통해 침투한 것으로 추정되며, 루트킷 등 일부 악성코드는 로그가 남지 않아 침투 경로조차 확인이 어려웠다. 서버 감염과 별개로 불법 펨토셀을 통한 개인정보 탈취 피해도 2만2227명에 달했으며, 무단 소액결제 피해자 수는 368명, 피해액은 2억4300만원으로 집계됐다. 특히 KT 망 인증서가 불법 펨토셀에 복제돼 KT 내부망에 누구나 접속할 수 있는 구조적 취약성이 확인됐다.

조사단은 단말기-코어망 구간에서 암호화가 해제되는 구간이 존재해 ARS·SMS 인증 정보뿐 아니라 문자와 통화 내용까지 유출이 가능했다고 밝혔다. 일부 아이폰 기종은 KT가 암호화 설정을 지원하지 않아 위험이 더 컸던 것으로 드러났다.

KT의 펨토셀 관리 체계는 인증 서버 IP 변경 미흡, 제조사 인증서 단일 사용, 비정상 IP 차단 부재 등 기본적인 보안 관리가 전반적으로 부실했던 것으로 평가됐다. 또 KT는 웹셸조차 탐지하지 못하는 등 보안 점검 능력도 부족했던 것으로 조사됐다.

과기정통부는 “KT의 총체적 보안 미흡은 약관상 위약금 면제 사유에 해당한다”며 전 이용자 대상 면제를 요구했다. 법률 자문을 받은 5개 기관 중 4곳도 “KT가 계약상 주요 의무를 위반했다”고 판단했다. 정부는 KT가 SKT 사례처럼 소비자 눈높이에 맞는 보상안을 마련할 것으로 기대하고 있다. KT는 30일 이사회에서 위약금 면제 범위와 보상안을 논의할 예정이다.

정부는 KT에 대해 EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응)과 백신 등 보안 솔루션 확대 도입, 분기별 취약점 점검, 1년 이상 로그 보관, 중앙 로그 관리 시스템 구축, CIO(Chief Information Officer, 최고정보책임자) 지정 및 자산관리 체계 정비 등을 요구했다. KT는 내달까지 재발 방지 계획을 제출해야 하며, 정부는 6월까지 이행 여부를 점검할 계획이다.