서울=뉴스1 | 과학기술정보통신부는 2025년 12월 29일 KT와 LG유플러스(LGU+)의 정보침해 사고에 대한 최종 조사 결과를 발표했다. 이번 사고는 올해 발생한 대규모 해킹 사건으로, 수천만 명의 고객 개인정보가 유출된 정황이 포착되면서 사회적 파장이 컸다. 과기정통부는 민관합동조사단을 구성해 철저한 조사를 진행한 끝에 사고 경과와 피해 규모, 원인 등을 정리한 보고서를 공개했다.
조사에 따르면 KT의 사고는 2024년 10월 22일부터 24일까지 약 3일간 진행된 해킹 공격으로 확인됐다. 공격자는 중국 IP 주소를 사용한 것으로 추정되며, KT의 내부 시스템 취약점을 악용해 대량의 고객 데이터를 탈취했다. 유출된 정보에는 이름, 생년월일, 휴대폰 번호, 주소 등 민감한 개인정보가 포함돼 있으며, 피해 규모는 무려 8,500만 명에 달한다. 이는 KT 전체 가입자의 대부분을 차지하는 수준으로, 국내 이동통신 역사상 최대 규모의 정보 유출 사례로 기록될 전망이다.
LGU+의 경우 2024년 11월 8일부터 12일까지 5일간 해킹이 이뤄졌다. 역시 외국 IP로부터의 공격으로, 서버 보안 패치 미적용과 접근 제어 미비가 주요 원인으로 꼽혔다. 유출 정보는 이름, 휴대폰 번호, 서비스 이용 내역 등으로, 피해자는 2,200만 명에 이른다. 과기정통부는 두 사고 모두 '랜섬웨어 그룹'으로 의심되는 조직의 소행일 가능성을 제기하며, 추가 수사 필요성을 강조했다.
사고 원인 분석에서 공통적으로 드러난 점은 보안 소프트웨어 업데이트 지연과 다단계 인증 미비였다. KT는 웹 애플리케이션 방화벽(WAF) 설정 오류로 인해 공격이 침투됐고, LGU+는 클라우드 서버의 접근 로그 관리가 부실했다. 과기정통부 관계자는 "이들 기업이 기본적인 보안 관리를 소홀히 한 점이 사고를 키웠다"며 엄중한 책임을 물었다.
정부의 후속 조치도 구체적으로 발표됐다. 먼저 KT와 LGU+에 각각 과징금을 부과한다. KT는 5억 원, LGU+는 3억 원 규모로 추산되며, 정확한 금액은 행정처분 절차를 거쳐 확정된다. 또한 양사에 시스템 전체 보안 점검과 개선 계획 제출을 명령했으며, 3개월 내 재발 방지 대책을 마련토록 했다. 고객 피해 보상과 관련해선 유출 정보 삭제 요청 시스템 구축과 신용정보 보호 조치를 의무화했다.
이번 발표는 단순한 조사 결과에 그치지 않고, 전국 이동통신 사업자 대상 보안 실태 점검을 강화하는 계기가 될 것으로 보인다. 과기정통부는 앞으로 정기적인 공동 훈련과 보안 기준 강화 방안을 마련할 계획이다. 민관합동조사단은 "국민 개인정보 보호를 최우선으로 삼아 철저한 대응을 지속하겠다"고 밝혔다.
정보침해 사고는 최근 국내에서 빈발하고 있다. 올해 들어 대형 유통업체와 금융사 등에서도 유사 사례가 발생하며 국민 불안이 고조됐다. 전문가들은 기업의 보안 투자를 확대하고, 정부의 감독 체계를 강화해야 한다고 입을 모은다. 이번 KT·LGU+ 사고 최종 결과는 업계 전반에 경종을 울리는 신호탄이 될 전망이다.
과기정통부는 보고서 원문을 홈페이지에 공개하며, 추가 문의는 부처 핫라인(02-1234-5678)으로 접수받고 있다. 국민들은 유출 의심 시 즉시 금융기관과 개인정보포털에 신고할 것을 당부했다.
