정부가 KT 침해사고와 관련해 KT의 과실이 확인됐다며, 이용약관에 따른 위약금 면제 규정을 적용할 수 있다는 판단을 내렸다. LG유플러스 침해사고에 대해서는 자료 은폐 정황이 있다며 수사를 의뢰했다.

과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사 결과와 함께, KT 이용약관상 위약금 면제 적용 가능 여부에 대한 검토 결과를 발표했다.

조사 결과 정부는 KT가 펨토셀 보안 관리를 소홀히 해 전체 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다고 판단했다. 이에 따라 이번 침해사고는 KT의 귀책 사유에 해당하며, 위약금 면제 규정을 적용할 수 있다고 결론지었다.

KT 침해사고는 불법 펨토셀 접속으로 발생했다. 조사단에 따르면 가입자 식별번호와 단말기 식별번호, 전화번호 등 2만2227명의 개인정보가 유출됐고, 368명이 무단 소액결제로 총 2억4300만원의 피해를 입었다. 다만 기록이 남아 있지 않은 2024년 7월 31일 이전 피해 여부는 확인이 불가능한 것으로 나타났다.

KT 전체 서버를 점검한 결과 94대 서버에서 ‘BPFDoor’와 루트킷 등 악성코드 103종이 발견됐다. 정부는 관련 정보를 즉시 관계기관과 공유하고 추가 피해 확산 방지 조치에 나섰다.

조사단은 KT의 정보보호 체계 전반에서 다수의 문제점을 확인하고, 펨토셀 인증 강화와 종단 암호화 유지, 보안 솔루션 확대 도입, 전사 자산 관리 체계 구축 등 재발 방지 대책을 마련해 이행을 요구했다.

또 KT가 침해사고를 인지한 뒤 24시간 이내 신고해야 하는 정보통신망법상 의무를 지키지 않은 점에 대해 과태료를 부과할 예정이다. 정부 조사 방해 정황에 대해서는 이미 수사기관에 수사를 의뢰했다.

LG유플러스 침해사고와 관련해서는 서버 재설치와 폐기 등으로 정확한 사고 원인 확인이 어려웠다. 조사단은 KISA가 사고 정황을 안내한 이후 이 같은 조치가 이뤄진 점을 문제 삼아 위계에 의한 공무집행 방해 혐의로 경찰청에 수사를 의뢰했다.

배경훈 과기정통부 부총리는 “KT와 LG유플러스 침해사고는 국가 핵심 기간통신망의 보안 허점을 드러낸 엄중한 사안”이라며 “기업들은 정보보호를 경영의 핵심 가치로 삼아야 한다”고 강조했다. 이어 “정부도 정보보호 역량을 강화해 국민이 안심하고 디지털 서비스를 이용할 수 있는 환경을 만들겠다”고 밝혔다.