KT가 지난해 3월부터 7월까지 BPF도어(Berkeley Packet Filter Door) 등 악성코드 감염 서버 43대를 발견했으나 정부에 신고하지 않은 것으로 확인됐다. 또 지난 8월 프렉(Frec) 보고서가 지적한 국가배후 조직의 KT 인증서 유출 정황과 관련해, KT가 서버 폐기 경위를 허위로 보고한 사실도 드러났다.
6일 과학기술정보통신부(과기정통부)는 KT 무단 소액결제 사건에 대한 민관합동조사단(조사단)의 중간 조사 결과 브리핑을 열고 이같이 밝혔다.
KT는 지난 9월 8일 자사에 등록하지 않은 불법 기기가 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 침해사고를 신고했다.
과기정통부는 9일부터 조사단을 구성해 △불법 펨토셀에 의한 소액결제·개인정보 유출 사고 △국가 배후 조직에 의한 KT 인증서 유출 정황 △KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대해 조사를 분석했다.
조사단은 우선 불법 펨토셀에 의한 소액결제·개인정보 유출사고와 관련해 △피해 현황 △관리·내부망 접속 인증 문제점 △소액결제 인증정보(ARS, SMS) 탈취 시나리오 △과거 BFP도어 등 악성코드 발견·조치 사실 △침해사고 신고 지연 등 법령 위반사항을 확인했다.
이에 조사단은 KT 통신기록이 남아 있는 지난해 8월 1일부터 지난 9월 10일까지 모든 기지국 접속 이력 약 4조300억건과 모든 KT 가입자 결제 약 1억5000억건 등의 데이터를 분석했다.
그 결과 불법 펨토셀 20개에 접속한 2만 2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI)와 전화번호 유출 정황을 확인했다.
조사단은 "통신기록이 없는 지난해 8월 1일 이전 피해는 파악이 불가능했으나 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 "향후 조사단은 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획"이라고 했다.
이와 함께 조사단은 KT 펨토셀 관리 체계가 전반적으로 부실하다는 점도 확인했다.
조사단에 따르면 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었다. 이 인증서를 복사하면 불법 펨토셀도 KT망에 접속 가능했다. 인증 유효기간도 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있다면 KT망에 접속할 수 있었다.
조사단은 또 펨토셀 제작 외주사를 통해 펨토셀에 탑재되는 셀 ID, 인증서, KT서버 IP 등 중요 정보를 쉽게 추출할 수 있음도 확인했다.
아울러 KT는 내부망에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않는 것으로 나타났다. 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
이에 조사단은 지난달 10일자로 불법 펨토셀 접속 차단을 위해 통신 3사 신규 펨토셀 접속을 전면 제한했다.
조사단은 KT에 펨토셀 통신사 인증서 유효기간을 1개월로 단축, KT유선 IP 외 펨토셀 접속 차단, 형상정보 확인 및 인증, 펨토셀 제품별 별도 인증서 발급 등을 조치도록 했다.
조사단은 소액결제 인증정보(ARS·SMS)가 탈취될 수 있었던 원인으로, 해커가 펨토셀을 장악해 종단 간 암호화를 해제할 수 있었던 점을 지목했다.
조사단에 따르면 종단 암호화를 해제한 상태에서는 불법 펨토셀이 인증정보를 쉽게 취득할 수 있었다.
조사단은 서버 포렌식을 분석한 결과 지난해 3월부터 7월까지 BFP도어, 웹셸 등 악성코드 감염 서버 43대가 있는 것도 확인했다. KT는 이를 자체적으로 조치하고 일부 감염 서버에서는 성명, 전화번호, 이메일주소, IMEI 등 정보가 저장돼 있었다.
조사단은 "동 사안을 엄중히 보고 있으며 관계기간에 합당한 조치를 요청할 계획"이라고 했다.
조사단은 지난 8월 프렉(Frec) 보고서에서 제기된 국가배후 조직의 KT 인증서 유출 정황과 관련해, KT가 서버 폐기 경위를 두고 거짓 답변을 한 사실도 확인했다고 밝혔다.
조사단에 따르면 KT는 지난 8월 1일 2대, 8월 6일 4대, 8월 13일 2대에 걸쳐 폐기하는 등 폐기시점을 당국에 허위 제출했다.
조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해, 지난 2월 관련 내용을 수사 의뢰했다.
KT가 이번 사고를 지연 신고한 점도 확인됐다. KT는 외부 업체를 통한 보안점검 결과, 지난 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 점을 확인했다. 그러나 당국 신고는 9월 18일 오후 11시 57분 침해사고를 지연 신고했다.
과기정통부는 "KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지
![[르포] 중력 6배에 짓눌려 기절 직전…전투기 조종사 비행환경 적응훈련(영상)](https://image.ajunews.com/content/image/2024/02/29/20240229181518601151_258_161.jpg)
