[디지털데일리 강소현기자] 정부가 KT에서 발생한 펨토셀 해킹과 소액결제 범죄 간 연관성이 있다고 판단했다. 펨토셀을 통해 소액결제 인증정보가 탈취됐을 가능성에 주목한 것이다. 특히 KT가 과거 BPFDoor 등 악성코드 침해사고가 발생했으나 이를 신고하지 않고 자체 처리한 사실이 발견되면서 관련한 논란은 커질 전망이다.

KT 침해사고 민관합동조사단 6일 이 같은 내용의 중간 조사결과를 발표했다. KT는 지난달 8일 소액결제 피해자의 통화이력을 분석한 결과, KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 신고했다. 이에 과기정통부는 국민 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 조사단을 구성 및 운영해왔다.

조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출사고와 관련해 불법 펨토셀로 인한 피해 현황과 KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점, 소액결제 인증정보(ARS, SMS) 탈취 시나리오, 과거 BPFDoor 등 악성코드 발견 및 조치 사실, 침해사고 신고 지연 등 법령 위반사항을 확인했다.

특히 조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다고 전했다.

KT는 지난 2024년 3월부터 7월의 기간 동안 BPFDoor, 웹셸 등 악성코드 감염서버(43대)를 발견해 정부에 신고 없이 자체적으로 조치하고 일부 감염서버에서 성명와 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있는 점을 조사단에 보고했다.

조사단은 해당 사안을 엄중히 보고 사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 계획이다.

또 KT는 지난달 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고 내부망에 무단 소액결제 관련 이상 통신 신호 패턴을 발견해 차단 조치했음에도 불법 펨토셀 ID의 존재를 확인한 후인 9월8일 침해사고를 지연신고한 것으로 나타났다.

8월8일 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 폐기시점도 당국에 허위보고한 것으로 나타났다. 또 KT는 폐기 서버 백업 로그가 있음에도 불구하고 지난 9월 18일까지 조사단에 이를 보고하지 않았다.

이에 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단하고 형법 제137조(위계에 의한 공무집행방해)에 따라 지난 2일 수사기관에 수사 의뢰했다.

향후 조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중에 있으며, 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사할 계획이다.

과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개할 방침이라고 전했다.

또 KT의 펨토셀 관리상 문제점과 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 예정이다.

한편 조사단은 중간 조사결과에선 KT의 일반적인 망 관리 실태 조사 및 테스트 환경에서의 검증을 통해 펨토셀 운영 및 내부망 접속 과정 상의 보안 문제점을 도출했다고 밝혔다. 최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안위협 요인을 파악하고 재발방지 대책을 마련해 발표할 계획이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -