KT

<이미지를 클릭하시면 크게 보실 수 있습니다>

KT의 19만여개 펨토셀이 모두 동일한 인증서를 사용, 하나만 탈취해 복사해도 불법 무선 장비의 KT 망 연동이 가능한 것으로 드러났다. 단말기와 코어망 구간의 암호화가 해제돼 ARS, 문자 인증 정보 탈취가 가능했다. 정부는 KT의 신고 지연, 허위신고에 대해서는 사법 처리 방침을 밝히고, 위약금 면제도 적극 검토키로 했다.

과학기술정보통신부 민관합동조사단은 6일 서울시 광화문 정부서울청사에서 'KT 침해사고 중간 조사결과 발표' 브리핑을 열고 이같이 밝혔다.

중간 조사 결과, 우선 추가 피해 가능성이 제기됐다. KT는 자체 조사 결과 368명이 총 2억4319만원의 소액결제 피해를 입었다고 발표했다. 하지만, 통신기록이 남아있지 않은 2024년 8월 1일 이전 피해에 대해서는 파악이 불가능했다. 조사결과, 기지국 접속 이력이 남지 않은 소액결제 피해가 일부 확인됐다. 소액결제 해킹이 이전부터 발생했을 가능성이 제기된 만큼, 조사단은 추가 조사를 거쳐 최종 피해 규모를 확정할 예정이다.

또, KT에 납품되는 모든 펨토셀은 동일 인증서를 사용하는 것으로 드러났다. 인증서 하나만 복사해도 불법 펨토셀이 KT망에 접속이 가능했다. 인증서 유효기간도 10년으로 길었고, 셀주소, KT 서버ID 등도 보안관리 체계 없이 외주사에 제공됐으며, 해외 의심 인터넷주소(IP) 차단 체계도 없었다. 조사단은 통신3사 전체를 대상으로 인증 체계를 개선하고, 신뢰성 있는 IP를 관리할 것을 조치토록했다.

이번 사건의 가장 큰 의문점이던 코어망과 단말기(종단)간 암호 해제도 기술적으로 가능한 것으로 드러났다. 해커는 종단 암호화 해제 상태에서 ARS, SMS로 된 인증정보를 평문으로 취득 가능한 것으로 조사단은 판단했다. 다만, ARS 인증을 위해서는 일반적인 전화통화와 문자, 이용자의 특정 개인정보가 결합돼야 하는데, 이를 어떻게 조합하고 탈취했는지는 실험과 확인을 지속키로 했다.

또, KT는 지난해 4월부터 7월까지 이용자 성명, 이메일, 단말고유번호(IMEI)가 담긴 서버 43대에서 BPFdoor와 웹셸 등 악성코드가 감염된 사실을 발견하고도 신고하지 않았다. 소액결제 해킹도 이상 신호 발견후 4일 늦게 신고해 과태료 조치가 이뤄질 전망이다.

보다 심각한 건 KT가 인증서 서버를 지난 8월 유출당하고 이후 폐기한 건에 대해 허위 신고하고, 백업로그 존재 사실도 신고하지 않았다는 점이다. 조사단은 해당건에 대해선 KT를 위계에 의한 공무집행 방해 혐의로 수사 의뢰했다.

최우혁 과기정통부 네트워크정책실장은 “KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하겠다”며 “추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표하겠다”고 말했다.

박지성 기자 jisung@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]