[디지털데일리 강소현기자] “형법상 위계에 의한 공무집행 방해를 들어서 경찰에 수사 의뢰했습니다.”

정부가 KT 고객 대상으로 발생한 소액결제 범죄와 관련 은폐 의혹에 대해 칼을 빼들었다. 침해사고 신고 지연에 이어 피해 규모 축소 및 은폐 정황까지 추가 발견되면서 정부는 엄중히 살펴보겠다는 입장이다.

과학기술정보통신부는 6일 오후 정부서울청사에서 ‘KT 침해사고 중간조사 결과’ 브리핑을 열고 이 같이 밝혔다. 앞서 서울·경기 지역 KT 고객을 중심으로 소액결제 다중피해 사건이 발생했다. KT 발표에 따르면 누적 피해 고객 수는 368명, 피해 금액은 2억4319만원으로 확인됐다.

정부는 이날 펨토셀을 통해 소액결제 인증 정보가 탈취됐을 가능성이 높다고 봤다. 지금까지 KT는 펨토셀 해킹과 무단 소액결제 범죄 간 직접적 연관성에 대해 명확한 입장을 밝히지 않았다.

최우혁 과기정통부 네트워크정책실장은 “(민간합동조사단) 조사는 모든 가능성을 열어두고 보고 있다”라면서도 “이 중 가능성이 가장 높은 것은 펨토셀을 통한 소액결제 범죄”라고 말했다.

특히 이번 조사에선 KT가 사고 사실을 축소·은폐하려 한 정황이 드러났다. KT가 과거 BPF도어 등 악성코드 침해사고가 발생했으나 이를 신고하지 않고 ‘자체 처리’한 사실이 발견된 것이다.

무단 소액결제 관련 지연 신고한 사실도 확인됐다. KT는 지난 9월5일 내부망에서 무단 소액결제 관련 이상 통신 신호 패턴을 발견하고 차단 조치했으나, 3일이 지난 9월8일에야 침해 사실을 신고했다.

이에 앞서 ‘프랙’이 해킹 정황을 제기한 서버를 KT가 폐기한 사실도 확인됐다. 과기정통부는 조사 방해 고의성이 있다고 보고 경찰에 수사를 의뢰했다.

이동근 KISA 디지털위협대응본부장은 “KT 프랙보고서 내용과 관련된 서버 폐기 건에 대해선 경찰에 수사를 의뢰할 때 형법상 위계에 의한 공무집행 방해를 들어서 경찰에 수사 의뢰했다”고 말했다.

다음은 과기정통부 최우혁 네트워크정책실장, KISA 이동근 디지털위협대응본부장과의 일문일답.

Q. (오늘 발표 내용을 보면) 서버 폐기 등 대부분이 KT가 알린 게 아니라 민간 합동조사단이 찾아낸건데 사실상 은폐 행위가 아닌지.

A: (최우혁 네트워크정책실장) 말씀하신 것처럼 KT가 밝힌 게 아니고 저희가 조사하는 과정에 포렌식을 하면서 발견한 사항이다. 포렌식 과정에서 KT에 자료를 요청했고, 이에 'KT로부터 보고를 받았다'고 표현한 것이다. 아직은 조사를 더 해봐야 된다.

Q. KT에서 발생한 소액결제 범죄와 관련 펨토셀 해킹 외 다른 가능성도 열어두고 있는지.

A: (최우혁 네트워크정책실장) 펨토셀을 메인으로 보고 있다. 조사는 모든 가능성을 열어두고 보고 있다. 이 중 가능성이 가장 높은 것이 펨토셀이라 보고 있다.

Q. BPF도어 등 악성코드가 어떤 서버에서 발견됐는지.

A: (최우혁 네트워크정책실장) 펨토셀 관련 서버였다. 서버 대수 등은 공개할 수 있는 부분들이 생기면 추후 발표하겠다.

Q. SKT 사이버침해사고 당시 정부가 KT에도 악성코드(BPF도어)에 대한 자체 전수조사를 지시했는데, 이번에 KT 서버에서 해당 코드가 나왔다면 자체 전수조사에 문제가 있는 것은 아닌지.

A: (최우혁 네트워크정책실장) (이번 조사에서) BPF도어는 발견되지 않았다. 포렌식 과정에서 BPF 도어는 삭제된 상태였으며 BPF 백신 흔적만 확인됐다. (2024년 3월에서 7월 사이 지워진 것이기 때문에) 전수 조사하고 연계성은 없다.

Q. 악성코드에 감염된 43대 서버를 통해 소액결제에 필요한 정보가 유출됐을 가능성도 있는지.

A: (최우혁 네트워크정책실장) 자료를 받아 분석해봐야 한다. 현재로서는 단정적으로 말씀드리기는 좀 어려울 것 같다.

Q. 전체 KT 고객 대상 위약금 면제 이뤄질까.

A: (최우혁 네트워크정책실장) SK텔레콤 때처럼 법률 자문을 적정 시점에 받은 뒤 최종적으로 말씀드릴 수 있을 것 같다. 피해 규모가 특정하고 난 뒤에 판단할 수 있을 것 같다.

Q. 사고 은폐의혹에 대한 처벌 계획이 있나.

A: (이동근 본부장) KT 프랙보고서 내용과 관련된 서버 폐기 건에 대해선 경찰에 수사를 의뢰할 때 형법상 위계에 의한 공무집행 방해를 들어서 경찰에 수사 의뢰했다.

A: (최우혁 네트워크정책실장) KT의 경우 정부도 지난번 서버 폐기 건과 관련해 수사를 의뢰한 바 있다. 수사 의뢰 이후에는 형법상 처벌이 있으며 이에 따른 것으로 알고 있다.

Q. 인증키 해킹은 없었나.

A: (최우혁 네트워크정책실장) 현재까진 유심 복제에 필요한 인증키가 유출된 정황은 발견되지 않았다. 하지만 이번에 여러 추가 사고 건들이 발견돼서 그 부분에 대해서도 관련성이 있는지는 면밀하게 살펴볼 예정이다.

Q. 패킷 감청에 대한 정부 입장은.

A: (최우혁 네트워크정책실장)조사가 좀 더 필요한 영역이라고 말씀드릴 수 있겠다. 현재는 조사단에도 전문가들이 많이 참여하고 있다, 여러 테스트도 해보고 있다. 정리가 좀 되면 한번 더 말씀드릴 수 있겠다.

Q. KT에 유심 교체 권고를 내릴 의향이 있는지.

A: (최우혁 네트워크정책실장) SKT 때와 마찬가지로 유심 교체에 대해선 각 사가 판단하는 영역이다. 정부가 특정한 조치를 요구한 적은 없다.

Q. 피해자가 향후 확대될 가능성은.

A: (최우혁 네트워크정책실장) KT가 분석한 과정을 토대로 그 방식이 옳았는지를 검증했다. 혹시라도 놓친 부분이 있는지 꼼꼼하게 확인하고자 한다.

Q. 기지국 접속이력이 없는 소액결제 범죄 규모와 어떻게 가능했는지.

A: (이동근 본부장) 접속기록이 안 남은 것은 기술적 한계 때문이다. 기지국 접속이력이 없는 결제가 이뤄진 것이 아니라 접속은 됐으나 시스템상 남아 있는 로그가 없는 것이다. KT에도 이러한 사례를 최대한 감안해 (피해 규모를) 산정해 달라고 요청했다.

Q, 펨토셀을 통한 종단 간 암호화 해제가 어떻게 가능한가.

A: (이동근 본부장) 종단 간 암호가 해제되는 경우는 굉장히 이례적인 케이스다. 결국 전제조건은 스마트폰하고 KT 코어망에서 연결되는 중간에 불법 펨토셀이 개입했기 때문에 가능한 것이다. 불법 펨토셀 장비에 대해 아직 분석이 진행 중이기 때문에 가장 높은 가능성이 있는 부분들을 토대로 저희가 검증한 내용을 우선적으로 말씀드렸다고 보면 될 것 같다.

Q. 신규 영업정지 등 정부 차원의 행정지도 내릴 계획 있는지.

A: (최우혁 네트워크정책실장) SKT의 경우 신규 영업정지를 했던 배경은 유심 부족 상태에서 고객들은 유심을 교체해 달라고 하는데 이것을 신규 영업으로 돌리는 부도덕한 행위를 막기 위함이었다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -