- KT 펨토셀 유출로 2만명 IMSI·IMEI 노출…94대 서버 103종 악성코드 발견
- LG유플러스 증거 서버 OS 재설치·폐기…정보통신망법 개편으로 제재 강화
국내 이동통신 3사가 모두 해킹 피해를 입은 것으로 최종 확인됐다. 정부 민관합동조사단은 29일 SK텔레콤에 이어 KT와 LG유플러스 침해사고 조사 결과를 발표하며 구조적 보안 실패를 지적했다.
KT는 불법 펨토셀로 인해 2만2227명의 IMSI·IMEI·전화번호가 유출됐고, 이 중 368명에게 2억4300만원 규모 무단 소액결제 피해가 발생했다. 전체 서버 점검에서 94대 서버에 BPF도어·루트킷·웹셸 등 103종 악성코드가 발견됐으나, 로그 보관기간이 1~2개월에 불과해 침투 경로와 피해 범위 파악에 한계가 있었다.
조사단은 KT의 펨토셀 인증 구조 취약, 비정상 IP 차단 미흡, 종단 암호화 해제 가능성, 보안장비 부재 등을 구조적 문제로 꼽고 방화벽 확대, 로그 1년 이상 보관, CISO 권한 강화 등을 명령했다. KT는 신고 지연으로 정보통신망법상 3000만원 과태료를 부과받았으며, 서버 폐기 허위 보고와 백업 로그 미제출로 공무집행방해 혐의 수사도 의뢰됐다.
과기정통부는 펨토셀 관리 부실과 암호화 미비를 KT의 계약상 의무 위반으로 판단해 전체 고객 대상 위약금 면제 사유를 인정했다. 이용자는 정보 유출 여부와 관계없이 계약 해지 시 위약금을 면제받을 수 있다.
LG유플러스는 공무집행방해 혐의로 경찰에 넘겨졌다. 익명 제보로 공개된 통합 서버 접근제어 솔루션(APPM) 서버 목록·계정·임직원 정보가 실제 유출된 것으로 확인됐으나, KISA 침해사고 안내 후 주요 서버 OS 재설치·폐기로 침투 경로와 추가 피해를 확인할 수 없었다.
정부는 SK텔레콤·KT·LG유플러스 사례를 들어 침해사고 미신고·은폐 제재 강화를 위해 정보통신망법 개정을 추진한다. 기간통신망 보안 수준 제고와 AI 시대 대비 정보보호 역량 고도화도 병행할 방침이다.
