00:00안녕하십니까. 과학기술정보통신부 제2차관 유재명입니다.
00:05지금부터 KT 및 LG유플러스 침해 사고에 대한 최종 조사 결과를 말씀드리겠습니다.
00:14정부는 이번 침해 사고가 많은 국민께 불편과 불안을 초래한 만큼
00:20엄정하고 철저한 조사와 투명한 공개를 원칙으로 조사를 진행하였습니다.
00:26먼저 KT 침해 사고 조사 개요입니다.
00:31지난 9월 8일 KT는 등록되지 않은 불법기기가 내부망에 접속한 사실을 발견하고
00:39한국인터넷진흥원에 침해 사고를 신고하였습니다.
00:44과기정통부는 이번 사고가 국민의 금전적 피해가 발생하였고
00:49공격 방식에 대해 면밀한 분석이 필요한 중대한 침해 사고로 판단하여
00:559월 9일부터 민관합동조사단을 구성하고
00:59피해 현황과 사고 원인을 조사하였습니다.
01:05조사단은 KT가 보유 관리하고 있는 펨토셀 전반에 대한 보안 실태를 조사하고
01:11불법 펨토셀에 의한 침해 사고가 발생한 경위와 사고 원인을 파악하기 위해
01:17경찰청과 협력하여 피의자로부터 확보한 압수물을 정밀 분석하는 한편
01:23KT 통신망 테스트베드를 활용하여 펨토셀 운영 및 통신 암호와 관련 문제점을 파악하였습니다.
01:34아울러 불법 펨토셀로 인한 개인정보 유출 및 무단 소액 결제 등 피해 규모도 검증하였습니다.
01:41또한 KT 전체 서버 약 3만 3천대를 대상으로 6차례에 걸쳐 악성코드 감염 여부를 조사하고
01:50감염 서버에 대해서는 포렌식 등 정밀 분석을 통해 정보 유출 등 피해 발생 여부를 파악했습니다.
01:59다음으로 KT 침해 사고 주요 조사 결과에 대해 말씀드리겠습니다.
02:03먼저 피해 규모와 관련하여 불법 펨토셀에 접속한 KT 이용자 2만 2,227명의
02:11가입자 식별번호, 단말기 식별번호, 전화번호가 유출되었고
02:17368명이 무단 소액 결제로 인해 약 2억 4,300만 원의 금전 피해가 발생했음을 확인하였습니다.
02:27또한 조사단은 KT 전체 서버 점검과 감염 서버 포렌식 과정을 통해
02:35총 94대 서버에서 BPF 도어, 루트킷 등 악성코드 103종이 감염되었음을 확인하였습니다.
02:45조사단은 KT의 보안 문제점도 다수 확인하였습니다.
02:49KT는 펨토셀의 생산, 납품 및 내부망 접속 인증 전반에 있어
02:56보안관리가 부실하여 불법 펨토셀의 접속을 허용하였으며
03:01불법 펨토셀에 의해 통신 암호화가 해제되어
03:05평문의 인증 정보 등이 공격자에게 노출되는 문제가 있었습니다.
03:11또한 전사 차원의 정보보호 거버넌스 및 자산관리 체계가 미흡하였고
03:17보안장비 도입, 공급망 보안관리 등 전반적인 정보보호 활동에 있어서도
03:23개선이 필요한 사항이 다수 확인되었습니다.
03:28다음으로 KT 이용약관상 위약금 면제 규정과 관련한
03:32과기정통부 검토 결과를 말씀드리겠습니다.
03:36과기정통부는 조사단의 조사 결과를 바탕으로
03:405개 로펌의 법률 자문을 진행하였습니다.
03:43대부분의 법률 자문기관에서는 이번 침해 사고를 KT의 과실로 판단했고
03:49펨토셀 관리 부실은 전체 이용자에 대해
03:53안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로
03:58위약금 면제 규정 적용이 가능하다는 의견을 제시하였습니다.
04:03참고로 법률 자문기관 한 곳은 정보 유출이 확인되지 않은 이용자에게는
04:08위약금 면제 규정 적용이 어렵다는 의견을 제시했습니다.
04:14과기정통부는 이번 침해 사고가 KT의 이용약관상
04:17기타 회사의 귀책 사유에 해당하는지에 대해
04:21침해 사고에서 KT 과실 여부, 전체 이용자에게 통신서비스를 제공하는 데 있어
04:27주된 의무를 위반하였는지 여부를 중점적으로 판단하였습니다.
04:32첫째, 침해 사고에서 KT 과실 여부에 대해 말씀드리겠습니다.
04:36조사단의 조사 결과에 따르면 이번 침해 사고와 관련하여
04:41KT의 펨토셀 인증서 관리, 펨토셀 외주 제작사 보안관리,
04:47비정상 IP 접속관리, 펨토셀 제품 형상정보 검증 등
04:52기본적인 펨토셀 보안 조치 과정에서 명백한 문제점이 있었으며
04:58이 과정에서 KT가 정보통신 망법을 위반한 사실이 확인되었습니다.
05:03따라서 KT는 안전한 통신서비스 제공을 위해 일반적으로 기대되는
05:09사업자의 주의 의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했으므로
05:15KT의 과실이 있는 것으로 판단하였습니다.
05:19둘째, 통신서비스 제공에 있어 주된 의무 위반에 대해 말씀드리겠습니다.
05:24정보통신 망법상 통신사업자에게는 안전한 통신서비스를 제공할 의무가 있으며
05:31국민의 일상생활 전반이 통신서비스를 기반으로 이루어지고 있는 점을 고려할 때
05:37이용자는 사업자가 안전한 통신서비스 제공을 위한 적절한 보호조치를 할 것으로 기대할 수 있습니다.
05:45따라서 안전한 통신서비스 제공은 통신사업자와 이용자 간 계약에서 중요한 요소로 볼 수 있습니다.
05:51이번 침해 사고에서 KT가 부실하게 관리한 것으로 확인한 펨토셀은
05:57이용자 단말기와 KT 내부망을 연결하는 장치로
06:01안전하고 신뢰할 수 있는 통신서비스 제공을 위한 필수적인 요소입니다.
06:07조사단의 조사 결과에 따르면 KT는 펨토셀 관리 전반이 부실하여
06:12불법 펨토셀이 언제 어디서든 KT 내부망에 접속할 수 있었고
06:16통신 트래픽 캡처가 가능한 불법 펨토셀과 연결된 이용자 단말기에서
06:23송수신되는 문자, 음성통화에 정보 탈취가 가능했던 사실이 확인되었습니다.
06:30또한 통신 과정에서 이용자 단말기와 KT 내부망 간 송수신되는 정보는
06:36종단 암호화가 이루어졌어야 하나 불법 펨토셀에 의해
06:40종단 암호화 해제가 가능했던 사실이 확인되었습니다.
06:46이는 통신 트래픽 캡처가 가능한 불법 펨토셀에서
06:50이용자가 송수신하는 평문의 문자, 음성통화 정보를 탈취할 수 있는
06:56위험한 상황에 이용자가 노출된 것이며
06:59실제 일부 지역에서 피해도 발생하였습니다.
07:03따라서 과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된
07:08평문의 문자, 음성통화 탈취 위험성은
07:11소액 결제 피해가 발생한 일부 이용자에 국한된 것이 아닌
07:16KT 전체 이용자가 위험성에 노출되었던 것으로 판단했고
07:21KT는 침해 사고를 대비하여 적절한 보호 조치를 통해
07:26이용자에게 안전한 통신 서비스를 제공해야 할
07:29계약상 주된 의무를 다하지 못한 것으로 판단했습니다.
07:33결론적으로 과기정통부는 이번 침해 사고에서
07:36KT 과실이 발견된 점, KT가 계약상 주된 의무인
07:41안전한 통신 서비스 제공 의무를 다하지 못한 점 등을 고려할 때
07:46이번 침해 사고는 KT 전체 이용자를 대상으로
07:50KT 이용약관상 위약금을 면제해야 하는
07:54회사의 기책 사유에 해당한다고 판단하였습니다.
댓글