KT가 지난해 자사 서버 40여대가 악성코드에 감염된 사실을 파악하고도 당국에 신고하지 않은 채 자체 처리한 것으로 확인됐다. 최근 발생한 무단 소액결제 사고에서는 범행에 활용된 불법 소형기지국(펨토셀) 관리를 부실하게 하는 등 통신망 보안 전반에서 허점을 드러낸 것으로 조사됐다.
과학기술정보통신부는 6일 정부서울청사에서 민관합동조사단 KT 해킹 사고 중간 조사 결과 브리핑을 열고 이 같이 밝혔다. 조사단은 서버 포렌식 분석 등을 통해 KT가 과거 악성코드 침해 사고를 신고하지 않고 자체적으로 조치한 정황을 파악했다. 이에 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견했으며 일부 감염 서버에 성명·전화번호·이메일 주소·단말기 식별번호 등의 정보가 저장돼 있었다고 조사단에 뒤늦게 보고했다. BPF도어는 지난 4월 SK텔레콤 해킹 사건 때도 발견된 악성코드다.
최우혁 과기정통부 네트워크실장은 “포렌식 도중 BPF도어를 검출하는 스크립트(백신)를 돌린 흔적을 발견하면서 당시 상황이 밝혀졌다”며 “이미 BPF도어는 모두 지워진 상태라 SKT 해킹 이후 진행했던 전수 조사 당시 발견되지 않았던 것”이라고 설명했다.
최 실장은 “서버 피해 43대는 KT가 자체적으로 밝힌 규모로, 포렌식을 통해 정확한 해킹 범위 등을 추가로 조사해야 한다”며 “조사단은 해당 사안을 엄중히 보고 있으며 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획”이라고 말했다. 조사단은 해당 악성코드 감염과 소액결제 사고 간의 관련성 여부도 살펴볼 예정이다.
무단 소액결제 인증정보 탈취의 주된 경로로는 종단 간 암호화 해제가 지목됐다. 전문가 자문과 KT 통신망 테스트베드 실험 결과를 종합한 결과 불법 펨토셀을 장악한 해커가 단말기와 기지국 간, 단말기와 코어망 간 종단 암호화를 해제할 수 있었으며, 이 같은 상태에서는 불법 펨토셀로 ARS(자동응답시스템)·SMS(단문 메시지) 등 인증정보를 평문으로 취득할 수 있다는 것이다.
다만 소액결제에 필요한 추가 개인정보들을 어떻게 확보했는지는 여전히 미궁에 빠져 있다. 조사단은 불법 펨토셀을 통해 문자, 음성 통화 탈취 등도 가능했는지 추가 조사할 방침이다. 이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 “종단 간 암호가 해제되는 것은 굉장히 이례적인 사례”라며 “추가 분석 후 정리가 되면 발표할 것”이라고 말했다.
KT 펨토셀 운영 체계 전반의 문제점도 발견됐다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었다. 또 인증서 유효기간이 10년인 탓에 한 번이라도 KT 망에 접속한 이력이 있을 경우 지속 접근이 가능했다.
KT는 “지연 신고한 사실에 대해 송구하다”며 “통신 인프라 전반을 근본적으로 재점검하고 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 끝까지 책임을 다하겠다”고 밝혔다.
양윤선 기자 sun@kmib.co.kr