[조선일보] 정부, 모든 KT 가입자 도청 가능성 확인…“전체 가입자에 위약금 면제하라”

작성자: 최종관리자 | 조회: 179회 | 작성: 2025년 12월 29일 오후 3:08

정부, 모든 KT 가입자 도청 가능성 확인…“전체 가입자에 위약금 면제하라”

김강한 기자2025. 12. 29. 14:01

펨토셀 부실 관리로 음성 통화 도청 위험 발생
서버 94대에서 악성코드 103종 발견
도청 흔적과 정보 유출 흔적은 확인 못해
보안업계에선 부실 조사 지적하는 목소리 나와

<YONHAP PHOTO-3357> KTㆍLGU+ 침해사고 조사 결과 브리핑 (서울=연합뉴스) 서대연 기자 = 류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 KTㆍLGU+ 침해사고 조사 결과를 브리핑하고 있다. 2025.12.29 dwise@yna.co.kr/2025-12-29 14:06:21/<저작권자 ⓒ 1980-2025 ㈜연합뉴스. 무단 전재 재배포 금지, AI 학습 및 활용 금지>

정부가 KT에서 발생한 무단 소액 결제 및 서버 해킹 관련 조사 결과를 발표하면서 모든 KT 가입자가 도청 위험에 노출됐기 때문에 전 가입자를 대상으로 위약금 면제 조치를 시행하라고 권고했다. 정부가 통신사에 위약금 면제 규정을 적용한 것은 지난 4월 해킹이 발생한 SK텔레콤에 이어 이번이 두 번째다. 정부는 “KT가 정보통신망법상 침해 사고를 대비하여 이용자에게 안전한 통신 서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다”고 밝혔다.

◇정부 “KT 전체 가입자에 위약금 면제”

정부는 29일 오후 정부서울청사에서 경찰과 합동 브리핑을 열고 KT에서 발생한 침해 사고 관련 민관 합동 조사단의 최종 조사 결과를 발표했다. KT에서는 앞서 지난 8월 무단 소액 결제 사건이 발생해 가입자 368명이 2억4300만원의 피해를 입었다. 2만2227명의 국제이동가입자식별번호(IMSI), 국제단말기식별번호(IMEI), 휴대폰 번호도 유출됐다. KT는 지난 9월 8일 KISA(한국인터넷진흥원)에 침해 사고를 신고했다.

류제명 과기정통부 2차관은 “KT가 보유·관리하고 있는 펨토셀(초소형 기지국) 전반에 대한 보안 실태를 조사하고 경찰청과 협력해 피의자로부터 확보한 압수물을 정밀 분석했다”면서 “KT 통신망 테스트베드를 활용해 펨토셀 운영 및 통신 암호화 관련 조사를 한 결과 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다”고 말했다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어서 해당 인증서만 복사하면 정상 펨토셀이 아니더라도 KT망에 접속이 가능했다는 것이다. KT는 내부망의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않을 만큼 허술하게 관리한 것으로 드러났다. KT는 펨토셀 제품의 고유번호, 설치 지역 정보 등이 KT망에 등록된 정보인지 여부도 검증하지 않았다.

◇KT 모든 가입자 음성 통화 도청 가능

이번 조사 결과 KT의 펨토셀 부실 관리로 KT 전체 가입자의 문자, 음성 통화 탈취가 가능했던 것으로 드러났다. 민관합동조사단은 “통신 과정에서 이용자 단말기와 KT 내부망 사이 구간의 송수신되는 정보는 종단 암호화(보내는 사람부터 받는 사람까지 데이터를 암호로 잠그는 것)가 이뤄졌어야 하지만 불법 펨토셀에 의해 종단 암호화가 해제돼 결제 인증 정보(ARS·SMS)가 전송됐다”면서 “불법 펨토셀에서 이용자가 송수신하는 문자, 음성 통화 정보를 탈취할 수 있는 위험한 상황에 모든 KT 이용자가 노출됐다는 뜻”이라고 말했다. 다만 실제 문자, 음성 통화 탈취 흔적은 발견하지 못했다고 밝혔다. 일부 단말(아이폰 16 이하)에서는 KT가 암호화 설정 자체를 지원하지 않아서 문자메시지가 평문으로 전송되는 문제도 드러났다.

과기정통부는 KT의 관리 부실로 모든 KT 이용자가 도청 위험에 노출됐던 만큼 KT 전체 이용자를 대상으로 약관상 위약금을 면제해야 하는 귀책 사유에 해당한다고 판단했다. KT 이용약관은 ‘기타 회사의 귀책 사유’로 이용자가 서비스를 해지할 경우 위약금을 면제하도록 규정하고 있다.

◇서버 94대에서 악성코드 103종 발견

민관합동조사단은 KT 전체 서버를 점검해 94대의 서버에서 악성코드 103종이 감염된 사실도 확인했다고 밝혔다. 민관합동조사단은 “지난해 3~7월 감염 서버를 발견했지만 정부에 신고하지 않은 감염 서버는 41대였고 악성코드 26종이 발견됐다”면서 “KT가 올해 5월부터 9월까지 외부 업체 보안 점검에서 침해 흔적이 발견됐다고 신고한 서버를 조사한 결과 서버 53대에서 악성코드 77종을 확인했다”고 밝혔다. 감염 서버 일부에는 가입자 이름, 전화번호, 이메일 등의 정보가 저장돼 있었지만 유출 정황은 확인하지 못했다. 최광기 과기정통부 사이버침해대응과장은 “다만 KT는 서버 내부 파일 접근 및 실행·오류 등의 동작을 기록하는 시스템 로그 보관 기간이 1~2개월에 불과해 로그 기록이 남아 있지 않은 기간에 대한 정보 유출 여부는 확인할 수 없었다”고 했다.

일각에선 이번 조사 결과가 부실하다는 비판도 나온다. 보안 업계 관계자는 “유출 정황을 확인하지 못했다는 말이 정보 유출이 없었다는 뜻이 아니다”라면서 “SK텔레콤에서는 2021년부터 서버 28대에 악성 코드 33종이 설치돼 모든 가입자의 유심 정보가 탈취됐는데, 악성 코드 103종이 발견된 KT에서 정보 유출 정황이 없다는 것을 상식적으로 납득할 수 있느냐”고 말했다. 앞으로 해킹이 발생했을 때 정보 유출 규모를 감추기 위해 KT처럼 서버를 폐기하면 된다는 것을 알려준 셈이라는 지적도 나온다. KT는 침해 정황이 있는 서버를 지난 8월 세 차례에 걸쳐 폐기한 것으로 드러나 경찰 수사를 받고 있다.