[디지털데일리 강소현기자] KT가 무단 소액결제 사고와 관련 축소·은폐하려 한 정황이 추가로 드러났다. 과거 BPF도어 등 악성코드 침해사고가 발생했으나 이를 신고하지 않고 ‘자체 처리’한 사실이 발견된 것이다. 이에 대해 정부는 엄정 조치하겠다는 입장을 밝혔다.

다만 정부는 KT에 대한 행정지도 여부에 대해선 말을 아꼈다. SK텔레콤에서 지난 4월 사이버 침해사고가 발생했을 당시 한 달 만에 위약금 면제·영업정지 등 강도 높은 해결책을 촉구한 것과는 대조적 모습이다. KT의 축소·은폐 의혹이 잇따라 드러나면서 SK텔레콤과의 조치 형평성 문제도 불거질 전망이다.

◆ "무단 소액결제 범죄, 펨토셀 부실관리와 연관"

과학기술정보통신부는 6일 오후 정부서울청사에서 이 같은 내용의 KT 침해사고 중간조사 결과를 공유했다. 앞서 서울·경기 지역 KT 고객을 중심으로 소액결제 다중피해 사건이 발생했다. KT 발표에 따르면 누적 피해 고객 수는 368명, 피해 금액은 2억4319만원으로 확인됐다.

과기정통부는 이날 KT의 펨토셀 관리 부실이 이번 소액결제 범죄의 직접적 원인이라 봤다. 그동안 KT가 소액결제 범죄와의 연관성을 회피해왔지만, 결국 KT의 보안 결함에서 비롯된 문제임이 확인된 것이다.

펨토셀은 실내 통신 품질을 높이기 위해 가정이나 사무실에 설치하는 소형 기지국 장비로, 관리가 허술한 펨토셀을 ‘가짜 기지국’처럼 동작해 KT 코어망에 비정상 접속한 것으로 정부는 분석하고 있다.

조사 결과 불법 펨토셀이 KT 내부망에 접속하기 용이한 환경이었음이 확인됐다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있을 뿐 아니라, 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.

최우혁 과기정통부 네트워크실장은 “조사는 모든 가능성을 열어두고 이뤄지고 있다”라면서도 “이 중 가능성이 가장 높은 것이 펨토셀이라 보고 있다”고 말했다.

◆ 악성코드 감염 서버 43대 추가…신고 없이 ‘자체 처리’

침해사고 규모를 축소·은폐하려 했다는 정황도 추가로 드러났다. 지난 2024년 3월부터 7월 사이 BPF도어과 웹셸 등 악성코드에 감염된 서버가 총 43대에 달했음에도 KT는 이를 정부에 신고하지 않고 내부적으로 ‘자체 처리’한 사실이 확인됐다.

이 사실이 최종적으로 입증될 경우, KT는 지난 7월 정보보호 투자 계획을 발표하는 자리에서 “SK텔레콤 사이버 침해사고와 관련해 자체 조사 결과 이상이 없었다”고 밝힌 주장 역시 사실과 다른 허위 발표였음이 확인되는 셈이다.

최우혁 네트워크정책실장은 “(이번 조사에서) BPF도어가 발견된 것은 아니다”라며 “포렌식 과정에서 BPF 도어는 삭제된 상태였으며 BPF 백신 흔적을 민간합동조사단이 확인했다”고 말했다.

총 43대의 서버에는 성명과 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었던 것으로 알려졌다.

해당 서버를 통해 소액결제에 필요한 고객 정보가 유출됐는지는 확인되지 않았다. 현재까지 기지국 ID를 통해 유출된 정황이 있는 정보는 국제이동가입자식별정보(IMSI)와 국제단말기식별번호(IMEI), 휴대전화 번호 등이다.

최우혁 실장은 “자료를 받아 분석해봐야 한다”며 “현재로서는 (소액결제에 필요한 고객 정보 유출 여부에 대해) 단정적으로 말하기 어려울 것 같다”고 말했다.

◆ 소액결제 사실 지연신고도…정부 “위약금·영업정지 여부, 추후 판단”

무단 소액결제 사실을 지연신고한 사실도 확인됐다. KT는 지난 9월5일 내부망에서 무단 소액결제 관련 이상 통신 신호 패턴을 발견하고 차단 조치했으나, 3일이 지난 9월8일에야 침해 사실을 신고했다.

앞서 미국 보안전문지 ‘프랙’이 해킹 정황을 제기한 서버를 KT가 폐기한 사실도 확인됐다. KISA는 조사 방해 고의성이 있다고 보고 경찰에 수사를 의뢰한 상황이다.

이동근 KISA 디지털위협대응본부장은 “KT 프랙보고서 내용과 관련된 서버 폐기 건에 대해선 경찰에 수사를 의뢰할 때 형법상 위계에 의한 공무집행 방해를 들어서 경찰에 수사 의뢰했다”고 말했다.

하지만 위약금 면제 등의 계획에 대해선 “추가 검토가 필요하다”는 입장을 유지했다. 이에 현장에선 SK텔레콤과의 형평성 문제가 제기됐다. 앞서 과기정통부는 SK텔레콤 사고 당시 위약금 면제와 손해배상 등 이용자 피해 보상안을 마련해 이행하라고 강하게 요구했기 때문이다.

최우혁 실장은 “(위약금 면제 여부는) SK텔레콤 때처럼 법률 자문을 적정 시점에 받은 뒤 최종적으로 말할 수 있을 것 같다”며 “피해 규모가 특정하고 난 뒤에 판단할 것”이라고 말했다.

또 영업정지 여부에 대해선 “SK텔레콤 때 영업정지를 내렸던 배경은 유심 부족 상태에서 고객들은 유심을 교체해 달라고 하는데 이것을 신규 영업으로 돌리는 부도덕한 행위를 막기 위함이었다”고 밝혔다.

한편 민간합동조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중에 있다. 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사할 계획이다.

최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안위협 요인을 파악하고 재발방지 대책을 마련해 발표할 방침이다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -