KT 사옥

<이미지를 클릭하시면 크게 보실 수 있습니다>

KT의 19만여 개 펨토셀이 모두 동일한 인증서를 사용, 하나만 탈취해 복사하더라도 불법 무선 장비의 KT망 연동이 가능한 것으로 드러났다. KT는 지난해 악성코드에 감염된 내부 서버 43대를 발견하고도 관계 당국에 곧바로 신고하지 않았다.

정부는 KT의 허위·지연 신고에 대해 사법 처리 방침을 밝히고, 위약금 면제도 적극 검토하기로 했다.

과학기술정보통신부 민관합동조사단은 6일 정부서울청사에서 'KT 침해사고 중간 조사 결과 발표' 브리핑을 열고 이같이 밝혔다.〈관련기사 8면〉

중간 조사 결과, 우선 추가 피해 가능성이 제기됐다. KT는 자체 조사 결과 368명이 총 2억4319만원의 소액결제 피해를 입었다고 발표했다. 하지만, 2024년 8월 1일 이전 해킹 건은 통신기록이 남아있지 않아 명확한 조사가 어려웠다. 이에 대해 조사단은 지난해 8월 1일 이전에도 해킹을 당한 일부 피해자를 확인했다며, 추가조사를 통해 최종 피해규모를 확정할 예정이다.

또한 KT에 납품된 모든 펨토셀은 인증서 하나만 복사해도 불법 펨토셀이 KT망에 접속할 수 있었다. 인증서 유효기간도 10년으로 길었고, 셀 주소, KT 서버 ID 등도 보안관리 체계 없이 외주사에 제공됐다. 해외 의심 인터넷 주소(IP) 차단 장치도 없었다. 조사단은 통신 3사 전체를 대상으로 인증 체계를 개선하고, 신뢰성 있는 IP를 중심으로 관리하도록 조치했다.

이번 사건의 가장 큰 의문점이던 코어망과 단말기(종단) 간 암호 해제도 기술적으로 가능한 것으로 드러났다. 다만 ARS 인증을 위해서는 일반적인 전화 통화와 문자, 이용자의 특정 개인정보가 결합돼야 하는데, 조사단은 이를 어떻게 조합하고 탈취했는지는 실험과 확인을 지속하기로 했다.

KT는 지난해 4월부터 7월까지 이용자 성명, 이메일, 단말기 고유번호(IMEI)가 담긴 서버 43대에서 BPFdoor와 웹셸 등 악성코드 감염 사실을 발견하고도 곧바로 신고하지 않고, 자체 조치 후 뒤늦게 신고했다. 소액결제 해킹 역시 이상 신호 발견 후 3일 늦게 신고해 과태료 조치가 이뤄질 전망이다.

조사결과, KT는 인증서 서버를 지난 8월 유출당한 뒤 폐기했음에도 이를 허위 신고하고, 백업 로그 존재 사실도 신고하지 않았다. 조사단은 해당 건에 대해 KT를 위계에 의한 공무집행방해 혐의로 수사 의뢰했다.

KT는 이번 조사 결과와 관련해 모든 펨토셀 인증서를 재발급하고, 망 접속시마다 인증을 수행하도록 개선했다고 밝혔다. 시큐어 부트 등 검사 소프트웨어(SW)를 설치해 불법장비의 망 연동 가능성을 차단했다. KT는 네트워크와 IT·보안 인프라에서 발생하는 모든 데이터를 통합 관제 체계에서 관리하며 이상 징후가 발생시 즉시 탐지하고 피해를 사전 차단 대응하는 신속 대응 체계를 구축해 가동한다고 강조했다. 이를 통해 KT는 기존 부실 관리체계에 대해 사과하고, 재발을 방지하겠다는 입장을 전했다.

박지성 기자 jisung@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]