KT가 무단 소액결제, 개인정보 유출사태와 관련해 초소형기지국(펨토셀) 관리 부실과 악성코드 침해사실 지연 신고 등을 인정하고 네트워크 안전 확보와 고객보호 조치에 총력을 다하겠다고 밝혔다. 회사는 통신 인프라 전반을 근본적으로 재점검하는 한편 고객 신뢰 회복을 최우선 과제로 삼고 있다고 강조했다.
KT는 6일 민관합동조사단의 중간조사 결과 발표 이후 '악성코드 침해 사실 인지 이후 정부에 신고하지 않았던 것과 무단 소액결제 관련 침해사고 지연 신고에 대해 송구하다'는 입장을 내놓았다. 회사는 정부 조사에 긴밀히 협력해 사실관계 규명에 최선을 다하겠다고 밝혔다.
동일 인증서 10년 방치
조사단은 이날 KT의 펨토셀 운영 과정에서 치명적인 보안 취약점들을 확인했다고 발표했다. KT에 납품된 모든 펨토셀이 동일한 인증서를 사용해 인증서 복사만으로 불법 펨토셀의 망 접속이 가능했고, 인증서 유효기간이 10년으로 설정돼 한 번이라도 접속한 이력이 있으면 장기간 유지되는 구조였다. 조사단은 불법 펨토셀을 장악한 해커가 종단 암호화를 해제해 소액결제 인증정보를 평문으로 탈취한 것으로 판단했다. 현재까지 2만2227명의 가입자 정보가 유출됐고, 368명이 총 2억4319만원의 소액결제 피해를 본 것으로 집계됐다.
조사단은 KT가 지난해 3~7월 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않았다고 지적했다. 또 올해 9월1일 경찰로부터 무단 소액결제 발생 사실을 전달받고 이상통신 신호 패턴을 확인해 차단 조치했음에도 일주일 뒤인 8일에야 침해사고를 신고한 것으로 드러났다.
인증 강화·통합관제로 재발 방지 총력
KT는 사고 이후 펨토셀 제작부터 납품, 설치, 미사용 장비 차단과 회수, 폐기 등 전 과정의 관리 체계를 손봤다. 모든 펨토셀의 인증서를 폐기한 후 새로 발급하고 인증절차를 강화해 정상 장비인지 여부를 매일 점검하고 있다. 펨토셀이 작동할 때마다 인증하도록 해 미인증 장비는 원천적으로 망에 접속할 수 없도록 조치했다. 불법장비 사용을 막기 위해 소프트웨어 위변조 감지 기능을 적용했고 기기 위치 이동도 차단했다. 미사용 펨토셀의 연동을 차단하고 망 접근 제어 정책을 강화하는 등 확인된 취약점을 모두 개선했다.
KT는 고객센터 문의, 수사기관의 데이터, 네트워크 및 보안 인프라 데이터를 하나의 통합관제 체계에서 관리하는 시스템을 가동하고 있다. 이상징후가 발생할 경우 즉시 탐지해 원인을 분석하고 고객 피해가 발생하기 전에 차단하는 전사 신속대응 체계를 구축했다. 진화하는 보안 위협에 대응하기 위해 외부 보안 전문가 및 제조사와의 협업도 적극 추진한다. 통신장비 인증부터 망 접속, 서비스 연동에 이르는 단계별 점검에도 착수했다.
무단 소액결제 피해 고객에 대한 청구 면제 및 환불도 완료했다. 소액결제와 정보유출이 확인된 피해 고객 전원의 위약금을 면제하고 이달 10일부터 5개월간 월 100GB의 무료 데이터를 제공한다. 또 15만원 상당의 휴대폰 교체 할인 또는 통신요금 할인을 자동 적용한다. 유심을 바꾸려는 전체 고객을 대상으로 무상교체 서비스도 시행하고 있다.