민관합동조사단 중간발표
지난해 43대 서버 자체 조치후 미신고·내부망 관리도 엉망
KT, 소액결제 368명 피해…조사단, 누락된 피해자 확인중

KT 침해사고 조사 중간결과 발표/그래픽=윤선정

KT 침해사고에 대한 과학기술정보통신부 민관합동조사단 조사결과 펨토셀(초소형 기지국) 관리부터 내부망 인증까지 총체적 부실이 드러났다. 지난해 악성코드에 감염된 사실을 확인하고도 정부에 미신고하는 등 고의로 은폐한 정황도 발견됐다. 앞서 KT는 미국 보안전문지 프랙이 해킹의혹을 제기한 서버 8대 중 2대를 보관 중이면서도 정부에 "폐기했다"고 허위보고해 과기정통부가 경찰에 수사를 의뢰했다.

과기정통부 민관합동조사단은 6일 KT 침해사고에 대한 중간조사 결과를 이같이 발표했다.

KT는 지난해 8월1일부터 올해 9월10일까지 모든 기지국 접속이력 약 4조300억건과 전가입자의 결제 건수 1억5000건을 분석한 결과 불법 펨토셀 20개에 접속한 2만2227명의 유심(범용가입자식별모듈) 정보(IMSI·IMEI·전화번호)가 유출됐고 368명이 2억4319만원의 소액결제 피해를 입었다고 밝혔다. 유심 인증키는 유출되지 않아 복제폰 가능성은 없다는 입장이다.

다만 지난해 8월 이전의 통신기록이 없어 확인이 불가한 데다 불법 펨토셀 접속기록이 없는데도 소액결제가 발생한 사례가 나와 추가 피해 가능성도 배제할 수 없다. 최우혁 과기정통부 네트워크정책실장은 "KT의 피해자 분석방식을 검증하고 누락된 피해자 존재 여부를 확인한 후 최종 피해규모를 발표하겠다"고 말했다.

━
펨토셀 비밀번호 10년간 동일…소액결제 방법은 '미궁'
━

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다./사진=뉴스1

<이미지를 클릭하시면 크게 보실 수 있습니다>

KT의 펨토셀 관리체계가 전반적으로 부실했던 것으로 나타났다.

모든 펨토셀이 동일한 인증서를 사용해 이를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 인증서 유효기간도 10년이어서 한 번이라도 KT망에 접속한 이력이 있다면 언제든 재접속이 가능했다. 내부망 인증시에도 비정상 IP(인터넷프로토콜)를 차단하지 않고 KT망에 등록된 고유정보인지도 검증하지 않았다. 펨토셀 제조사는 셀 ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 외주 제작사에 제공하기도 했다. 펨토셀 저장장치에서 이를 추출하는 것도 쉬웠다.

해커가 불법 펨토셀로 어떻게 소액결제를 했는지는 미궁이다. 조사단에 따르면 해커는 불법 펨토셀을 통해 휴대폰과 코어망간 종단 암호화를 해제할 수 있는 것으로 나타났다. 이를 통해 ARS(자동응답전화)·SMS(단문메시지)의 인증정보를 평문으로 취득할 수 있었다.

이동근 한국인터넷진흥원(KISA) 디지털위협대응본부장은 "종단간 암호가 해제되는 경우는 굉장히 이례적인 케이스"라고 말했다. 다만 소액결제를 하려면 성명·성별·생년월일 등 추가 개인정보가 필요한데 이를 어떻게 확보했는지는 밝혀지지 않았다.

━
"안전한 KT로 오세요"라더니…지난해 악성코드 감염
━
KT가 고의로 사건을 은폐·축소하려 한 정황이 잇따라 발견됐다. 조사단이 서버 포렌식 중 악성코드를 삭제한 흔적을 발견하고 KT에 설명을 요청하자 뒤늦게 지난해 3~7월 BPF도어·웹셀 등에 감염된 서버 43대를 자체조치했다고 밝혔다. 해당 서버엔 성명, 전화번호, 이메일주소, IMEI(단말기식별번호) 등 개인정보가 저장돼 있었다. BPF도어는 SK텔레콤 해킹사태를 일으킨 주요 악성코드로 과기정통부는 지난 5월 KT, LG유플러스와 4개 플랫폼사를 대상으로 대대적 점검을 실시했다. 이때도 KT는 특이사항이 없다고 보고했다.

최 실장은 "악성코드 감염 서버가 더 확대될 가능성도 열려 있다"며 "사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 것"이라고 말했다.

이외에도 KT는 무단 소액결제와 관련, 이상 통신호 패턴(비정상적인 접속)을 발견하고도 3일 후에 침해신고를 하고 외부업체 보안점검 결과 내부서버에 대한 침해 흔적이 나왔는데도 3일 뒤에 신고한 것으로 드러났다.

과기정통부는 KT 침해사고에 대한 엄정한 조사를 진행하는 동시에 최종 조사결과를 토대로 이용약관상 위약금 면제사유에 해당하는지 검토할 예정이다. 이에 대해 KT는 "펨토셀 관리체계를 대폭 강화했다"며 "통신인프라 전반을 근본적으로 재점검하고 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 책임을 다하겠다"고 밝혔다

윤지혜 기자 yoonjie@mt.co.kr 김승한 기자 winone@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.