KT가 지난해 BPF도어(방화벽을 우회해 통신을 가로채는 고급 악성코드) 등 고급 악성코드 감염 사실을 알고도 정부에 신고하지 않고 자체 처리한 정황이 확인됐다.
과학기술정보통신부 KT 침해사고 민관합동조사단은 6일 KT 침해사고 중간 조사 결과를 발표했다.
조사단은 포렌식 분석을 통해 KT가 2024년 3월부터 7월까지 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않은 채 자체적으로 조치한 사실을 확인했다. 조사단은 KT가 이 지적을 받은 뒤에서야 일부 감염 서버에 성명과 전화번호와 이메일 주소와 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다고 뒤늦게 보고했다고 밝혔다. 조사단은 해당 사안을 중대하게 보고 있으며 사실관계를 면밀히 확인한 뒤 관계기관에 합당한 조치를 요청할 계획이다.
조사단은 이번 조사 과정에서 KT의 불법 초소형 기지국(펨토셀) 관리 부실 문제도 확인했다고 밝혔다. 이번 사건에서 펨토셀은 무단 소액결제를 위한 관문 역할을 했다. 조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이 형성됐다고 밝혔다.
KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서 복사만으로 불법 펨토셀이 KT망에 접속이 가능한 상태였다. 또한 KT 인증서의 유효기간이 10년으로 설정돼 있어 한 번이라도 KT망 접속 이력이 있는 펨토셀은 계속해서 내부망 접속이 가능한 구조였다는 점이 확인됐다.
조사단은 펨토셀 제조사가 셀ID와 인증서, KT 서버 IP 등 중요 정보를 보안관리 절차 없이 외주 제작사에 제공한 사실도 확인했다. 펨토셀 저장 장치에서는 이 정보를 쉽게 확인하고 추출할 수 있었다는 의미다. KT는 내부망에서 펨토셀 접속 인증 과정에서 타사 IP나 해외 IP 같은 비정상 IP의 접속을 차단하지 않았다. 또한 펨토셀 제품 고유번호나 설치 위치 같은 형상정보가 KT망에 등록된 정보와 일치하는지 검증하지 않았다.
조사단은 소액결제 인증이 어떻게 해커에게 넘어갔는지도 설명했다. 원래 KT 통신은 휴대전화와 기지국 사이 그리고 휴대전화와 KT 본사 시스템 사이에서 두 번 암호화되도록 돼 있다. 보통은 전화 인증(ARS) 과 문자 인증(SMS) 내용이 외부에서 보이지 않는다.
하지만 조사단은 실험을 통해 해커가 불법 펨토셀(위장 기지국) 을 장악하면 두 번째 암호화(종단 암호화)를 풀 수 있다는 점을 확인했다. 암호가 풀리면 인증번호가 그대로 글자 형태(평문)로 드러난다. 결국 해커는 이용자가 모르는 사이에 ARS 인증 내용과 문자 인증번호를 그대로 볼 수 있었다. 그래서 해커는 대신 소액결제를 승인할 수 있었다.
조사단은 KT가 침해사고 신고를 두 차례 지연한 사실도 확인했다. KT는 8월 1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 보고했지만 실제 폐기 시점은 8월 1일 2대, 8월 6일 4대, 8월 13일 2대였다. KT는 폐기 시점을 당국에 허위 제출했다. 정부는 이 사안을 10월 2일 경찰에 수사 의뢰했다.
조사단은 KT의 자체 피해 분석 결과도 추가 검증이 필요하다고 밝혔다. 2024년 8월 1일 이전 통신기록이 존재하지 않아 그 이전 피해 규모는 확인이 불가능한 상태이며 일부에서 기지국 접속 이력이 남지 않은 소액결제 피해도 발견됐기 때문이다. 조사단은 KT의 피해자 분석 방식 검증과 누락 피해 여부 확인을 거쳐 최종 피해 규모를 발표할 계획이다.
KT는 2024년 8월 1일부터 9월 10일까지 모든 기지국 접속 이력 4조300억건과 모든 KT 가입자의 소액결제 1억5000만건을 분석했다. 그 결과 불법 펨토셀 20대에 접속한 2만2227명의 가입자 식별번호(IMSI)와 단말 식별번호(IMEI)와 휴대전화번호가 유출된 정황을 확인했다. 이 가운데 368명은 총 2억4319만원의 소액결제 피해가 있었다고 발표했다.
조사단은 경찰과 협력해 검거된 무단 소액결제 피의자에게서 압수한 불법 장비를 분석 중이다. 조사단은 개인정보보호위원회와 협력해 피의자들이 소액결제에 필요한 개인정보를 어떤 경로로 확보했는지 조사할 계획이다.
과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사 결과를 국민에게 투명하게 공개할 계획이다. 과기정통부는 KT의 펨토셀 관리 문제와 과거 악성코드 발견 사실 등을 포함해 법률 검토를 진행하고 KT 이용약관상 위약금 면제 사유 적용 여부를 발표할 예정이다.
김광연 기자
fun3503@chosunbiz.com
- 김영섭 연임 포기… KT 새 대표 선임 절차 착수
- KT·LGU+, 해킹 정황 인지하고도 늑장 신고… 과기정통부 “실수 있었다” [국감2025]
- 한 달 사이 4번… 국회 출석해 고개 숙인 김영섭 KT 대표 [국감2025]
- 해킹 여파 확산... 김영섭 KT 대표 연임 불투명
- 정부 “KT도 필요하면 영업정지”
- “‘양치기 소년’ KT 못 믿겠다”… 복제폰 우려 계속
- KT “악성코드 미신고 송구…정보 유출 고객 위약금 면제”
- “클라우드·DC 성장” KT 3분기 영업익 5382억… 전년比 16%↑
- KT 추가 은폐 정황에 더 거세진 ‘전 고객 위약금 면제’ 요구
- 호실적에도 못 웃는 KT… 4분기부터 ‘비용 후폭풍’ 몰아친다
- KT “고객 보상 비용·과징금 탓에 4분기 실적 보수적 전망”