국가 기간통신망의 양대 축인 KT와 LG유플러스가 보안 관리에서 총체적 난맥상을 드러냈다.

정부 합동조사 결과, KT는 초소형 기지국인 '펨토셀' 관리 부실로 외부 침입을 허용해 고객 개인정보 유출과 금전 피해를 야기한 것으로 확인됐다.

LG유플러스는 해킹 사고 조사 과정에서 서버를 폐기하는 등 조직적인 증거 인멸 정황이 포착되어 경찰 수사를 받게 됐다.

과학기술정보통신부와 한국인터넷진흥원(KISA)으로 구성된 민관합동조사단은 29일 이 같은 내용을 골자로 한 'KT·LG유플러스 침해사고 최종 조사결과'를 발표했다.

조사 결과에 따르면, KT 침해사고의 발단은 가정이나 소규모 사무실 등에서 통신 음영지역을 해소하기 위해 사용하는 초소형 기지국인 '펨토셀' 관리의 허술함에 있었다.

KT는 펨토셀 기기에 탑재되는 인증서의 유효기간을 무려 10년으로 설정해두는가 하면, 비정상적인 IP 접속을 차단하지 않는 등 보안의 기본조차 지키지 않은 것으로 드러났다.

이 틈을 타 해커는 불법 펨토셀을 KT 내부망에 접속시켰고, 이를 통해 일반 이용자의 단말기 식별번호(IMEI)와 전화번호 등 2만 2,227명의 개인정보를 탈취했다.

더욱 심각한 점은 통신 구간의 암호화가 풀리면서 이용자의 문자 메시지와 음성 통화 내용까지 엿들을 수 있는 상태였다는 것이다.

실제로 이 보안 허점을 악용한 무단 소액결제 피해가 368명에게서 발생했으며, 피해액은 약 2억 4,300만 원에 달했다.

또한 KT 서버 전수 조사 과정에서 중국 해커 그룹이 제작한 것으로 알려진 'BPFDoor' 등 악성코드 103종이 서버 94대에서 발견됐다.

KT는 일부 감염 사실을 인지하고도 정부에 신고하지 않은 채 자체적으로 데이터를 삭제하는 등 은폐를 시도한 정황도 포착됐다.

과기정통부는 이러한 보안 부실이 단순한 과실을 넘어 통신사가 이용자에게 안전한 서비스를 제공해야 할 주된 계약 의무를 위반한 것으로 판단했다.

이에 따라 이용약관상 '회사의 귀책사유'가 인정되어, 이번 사고의 직접적인 피해자가 아니더라도 불안감을 느낀 KT 가입자라면 누구나 위약금 없이 서비스를 해지할 수 있게 됐다.

이는 통신 시장의 점유율 지형을 흔들 수 있는 결정으로, KT로서는 막대한 경영상의 타격이 불가피할 전망이다.

LG유플러스의 상황은 도덕적 해이의 극치를 보여줬다.

익명의 제보로 시작된 조사에서 LG유플러스는 해킹 정황이 담긴 패스워드 관리 솔루션(APPM) 서버의 운영체제를 재설치하거나 아예 폐기해버린 것으로 드러났다.

조사단이 사고 징후를 알리고 조사를 예고한 시점 이후에 증거가 인멸되었다는 점에서 정부는 이를 고의적인 조사 방해 행위로 판단했다.

과기정통부는 LG유플러스에 대해 위계에 의한 공무집행방해 혐의로 경찰청에 수사를 의뢰했다.

정부는 이번 사태를 엄중하게 인식하고 강력한 제재와 재발 방지 대책을 내놓았다.

KT에는 정보보호최고책임자(CISO)의 권한을 강화하는 거버넌스 개편과 함께 펨토셀 보안 관리 강화, 통신 암호화 설정 등 기술적 조치를 명령했다.

또한 침해사고 미신고와 조사 방해 행위에 대해서는 정보통신망법에 따라 과태료를 부과할 예정이다.

배경훈 과기정통부 장관은 "국가 핵심 기간통신망에서 발생한 이번 보안 사고는 기업의 생존을 위협할 수 있는 엄중한 사안"이라며 "국민이 신뢰할 수 있는 안전한 통신 환경을 만들기 위해 정보보호 역량을 강화하는 데 최선을 다하겠다"고 밝혔다.

이번 발표로 통신 업계 전반에 걸친 고강도 보안 감사와 함께, 소비자들의 대규모 이탈 가능성 등 후폭풍이 거셀 것으로 예상된다.