지난해 서버 뚫렸지만 ‘자체 조치’
털린 정보, 펨토셀 악용에 쓰였나
유심 교체·위약금 면제로 번질 가능성도
KT가 지난해 3월 이미 해킹 공격을 당했지만 1년 넘게 사건을 은폐한 정황이 조사 결과 확인됐다. 그간 미지수였던 불법 초소형 기지국(펨토셀) 접속 방식과 관련해, 이미 빠져나간 정보를 활용했을 가능성이 높아졌다.
6일 KT 해킹 민관 합동 조사단 중간 결과 발표에 따르면 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견했으나 정부에 신고하지 않고 ‘자체 조치’했다. 이 해킹 방식은 앞서 SK텔레콤이 당한 공격과 동일한 방식이다. KT는 조사단에 일부 감염서버에서 성명·전화번호·이메일주소·단말기식별번호(IMEI) 등 정보가 저장돼 있다고 보고했다. 유출 규모는 아직 정확히 드러나지 않았지만, KT 가입자들이 지난해 10월부터 무단 소액결제 피해를 봤다는 점을 고려하면 결제·인증 등에 필요한 핵심 정보들이 빠져나갔을 가능성이 높은 것이다.
무단 소액결제범들이 불법 펨토셀을 활용해 KT 망에 접속한 사실이 확인됐지만 실제 결제·인증을 어떻게 성공했는지는 미지수였다. 유심키 등 그간 KT가 유출되지 않았다고 주장한 핵심 개인정보도 나갔을 가능성도 배제할 수 없게 됐다. 조사단은 “경찰과 협력해 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중”이라며 “개인정보보호위원회와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사해 나갈 계획”이라고 밝혔다.
조사단은 “적은 수이긴 하지만 불법 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다”며 “KT의 피해자 분석 방식을 점검하고 누락된 피해자 존재 여부를 확인할 계획”이라고 밝혔다. 불법 펨토셀이 악용된 범죄와 다른 패턴의 범행이 있었을 수 있다는 이야기다. 확인되지 않은 피해 규모가 더 커질 가능성도 배제할 수 없다.
한편 KT는 이날부터 전 가입자들을 대상으로 유심 교체를 시작했다. SK텔레콤과 달리 KT에서는 서버 해킹 사실이 널리 알려지지 않았으나, 사실이 퍼지면 SK텔레콤 해킹 때 처럼 ‘유심대란’이 일 가능성도 있다. KT는 지난달 기준 약 250만 개의 유심을 보유하고 있고 이달 중 200만개를 추가 확보해 교체 작업에 차질이 없도록 한다는 방침이다. 다만, 교체 수요가 늘면 확보량을 넘어설 가능성이 있다.
과학기술정보통신부는 SK텔레콤 해킹 사건이 알려지고 유심 교체 대란이 빚어지자 SK텔레콤에 영업 중단 조처를 내리고 50일간 이를 유지한 바 있다. 당국이 KT에도 SK텔레콤에 내린 것과 같은 위약금 면제 조치를 요구할 가능성도 커졌다.
과기정통부는 “KT의 펨토셀 관리 문제점, 과거 악성코드 발견 등 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표하겠다”고 밝혔다. KT가 그간 “민관 합동 조사 결과를 지켜보겠다”며 위약금 면제에 대한 유보하는 태도를 보여왔으나 중간 조사 결과에서 치명적인 관리 부실이 드러나며 입장 선회가 불가피할 전망이다.
한편 같은 방식의 해킹임에도 SKT 사태보다 당국의 조치가 미온하다는 비판도 일각에서 제기되고 있다. 조사단 관계자는 이날 브리핑에서 “KT에도 신규 영업정지 등 행정지도를 내릴 가능성이 있느냐”는 질문에 “(SK텔레콤) 신규 영업정지는 유심이 부족한 상황에서 고객들이 교체를 요구하는데도 이를 신규 영업으로 돌리는 부도덕한 행위를 막기 위한 조치였다. KT에서도 같은 사태가 발생한다면 동일한 조처를 내릴 수 있다”고 말했다.
SK텔레콤 사태 당시는 가입자들의 불안이 크고 유심 여유분이 20만개밖에 없어 수급이 어려웠던 반면 KT는 200만 개 이상을 확보해 현시점에서 제재 필요성이 없다는 설명이다. 그러나 KT는 자사 해킹 사실을 알고도 이를 은폐한 채 SK텔레콤 이탈자 가입을 유치하는 마케팅을 벌였고, 실제 금전 피해까지 확인됐음에도 두 달간 별다른 제재를 받지 않았다는 점에서 형평성 논란도 나온다.
조사단 관계자는 “SK텔레콤만 부도덕하다고 한 것은 아니다”라며 “국민들한테 피해를 준 건 잘못된 기업의 행위였고 수사 의뢰 등 가능한 모든 조처를 하고 있다”고 했다.
개인정보위의 과징금 부과 가능성도 커졌다. 개인정보위는 이보다 앞서 SK텔레콤에 1347억 원의 과징금을 부과한 바 있다.
털린 정보, 펨토셀 악용에 쓰였나
유심 교체·위약금 면제로 번질 가능성도
KT가 지난해 3월 이미 해킹 공격을 당했지만 1년 넘게 사건을 은폐한 정황이 조사 결과 확인됐다. 그간 미지수였던 불법 초소형 기지국(펨토셀) 접속 방식과 관련해, 이미 빠져나간 정보를 활용했을 가능성이 높아졌다.
6일 KT 해킹 민관 합동 조사단 중간 결과 발표에 따르면 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견했으나 정부에 신고하지 않고 ‘자체 조치’했다. 이 해킹 방식은 앞서 SK텔레콤이 당한 공격과 동일한 방식이다. KT는 조사단에 일부 감염서버에서 성명·전화번호·이메일주소·단말기식별번호(IMEI) 등 정보가 저장돼 있다고 보고했다. 유출 규모는 아직 정확히 드러나지 않았지만, KT 가입자들이 지난해 10월부터 무단 소액결제 피해를 봤다는 점을 고려하면 결제·인증 등에 필요한 핵심 정보들이 빠져나갔을 가능성이 높은 것이다.
무단 소액결제범들이 불법 펨토셀을 활용해 KT 망에 접속한 사실이 확인됐지만 실제 결제·인증을 어떻게 성공했는지는 미지수였다. 유심키 등 그간 KT가 유출되지 않았다고 주장한 핵심 개인정보도 나갔을 가능성도 배제할 수 없게 됐다. 조사단은 “경찰과 협력해 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중”이라며 “개인정보보호위원회와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사해 나갈 계획”이라고 밝혔다.
조사단은 “적은 수이긴 하지만 불법 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다”며 “KT의 피해자 분석 방식을 점검하고 누락된 피해자 존재 여부를 확인할 계획”이라고 밝혔다. 불법 펨토셀이 악용된 범죄와 다른 패턴의 범행이 있었을 수 있다는 이야기다. 확인되지 않은 피해 규모가 더 커질 가능성도 배제할 수 없다.
한편 KT는 이날부터 전 가입자들을 대상으로 유심 교체를 시작했다. SK텔레콤과 달리 KT에서는 서버 해킹 사실이 널리 알려지지 않았으나, 사실이 퍼지면 SK텔레콤 해킹 때 처럼 ‘유심대란’이 일 가능성도 있다. KT는 지난달 기준 약 250만 개의 유심을 보유하고 있고 이달 중 200만개를 추가 확보해 교체 작업에 차질이 없도록 한다는 방침이다. 다만, 교체 수요가 늘면 확보량을 넘어설 가능성이 있다.
과학기술정보통신부는 SK텔레콤 해킹 사건이 알려지고 유심 교체 대란이 빚어지자 SK텔레콤에 영업 중단 조처를 내리고 50일간 이를 유지한 바 있다. 당국이 KT에도 SK텔레콤에 내린 것과 같은 위약금 면제 조치를 요구할 가능성도 커졌다.
과기정통부는 “KT의 펨토셀 관리 문제점, 과거 악성코드 발견 등 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표하겠다”고 밝혔다. KT가 그간 “민관 합동 조사 결과를 지켜보겠다”며 위약금 면제에 대한 유보하는 태도를 보여왔으나 중간 조사 결과에서 치명적인 관리 부실이 드러나며 입장 선회가 불가피할 전망이다.
한편 같은 방식의 해킹임에도 SKT 사태보다 당국의 조치가 미온하다는 비판도 일각에서 제기되고 있다. 조사단 관계자는 이날 브리핑에서 “KT에도 신규 영업정지 등 행정지도를 내릴 가능성이 있느냐”는 질문에 “(SK텔레콤) 신규 영업정지는 유심이 부족한 상황에서 고객들이 교체를 요구하는데도 이를 신규 영업으로 돌리는 부도덕한 행위를 막기 위한 조치였다. KT에서도 같은 사태가 발생한다면 동일한 조처를 내릴 수 있다”고 말했다.
SK텔레콤 사태 당시는 가입자들의 불안이 크고 유심 여유분이 20만개밖에 없어 수급이 어려웠던 반면 KT는 200만 개 이상을 확보해 현시점에서 제재 필요성이 없다는 설명이다. 그러나 KT는 자사 해킹 사실을 알고도 이를 은폐한 채 SK텔레콤 이탈자 가입을 유치하는 마케팅을 벌였고, 실제 금전 피해까지 확인됐음에도 두 달간 별다른 제재를 받지 않았다는 점에서 형평성 논란도 나온다.
조사단 관계자는 “SK텔레콤만 부도덕하다고 한 것은 아니다”라며 “국민들한테 피해를 준 건 잘못된 기업의 행위였고 수사 의뢰 등 가능한 모든 조처를 하고 있다”고 했다.
개인정보위의 과징금 부과 가능성도 커졌다. 개인정보위는 이보다 앞서 SK텔레콤에 1347억 원의 과징금을 부과한 바 있다.
댓글목록
등록된 댓글이 없습니다.