서버 공격 감춘 KT…"펨토셀 악성코드 감염 은폐"(종합)

(서울=뉴스1) 김민수 이기범 기자 = KT(030200)가 무단 소액결제 사태가 발생하기 1년 전 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않았던 것으로 드러났다. 정부는 포렌식 과정에서 KT가 악성코드를 자체적으로 삭제 조치한 사실을 확인했다.

과학기술정보통신부 민관합동조사단은 6일 오후 정부서울청사에서 KT 침해 사고 중간 조사 결과를 발표했다.

조사단은 서버 포렌식 분석을 통해 KT가 악성코드 침해 사고를 신고하지 않고 자체 처리한 사실을 확인했다. KT는 지난해 3월~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견해 정부에 신고 없이 자체적으로 조치한 것으로 파악됐다. KT는 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장됐다고 조사단에 보고했다.

정부는 KT가 정보통신망법상 침해사고 인지 후 24시간 이내 신고를 해야하는 의무를 위반했다고 보고 있다. 이 경우 3000만 원 이하의 과태료과 부과될 수 있다.

조사단은 "포렌식 중 BPF도어를 발견한 것이 아니다"며 "BPFDoor를 검출하는 스크립트(백신)를 돌린 흔적을 발견한 것"이라고 설명했다.

조사단은 감염 서버 43대를 포렌식 하기 위해 상당한 시간이 필요하다며 "최종 조사결과 발표 시점은 예단하기 어렵다"고 말을 아꼈다.

조사단은 KT의 펨토셀 관리 체계가 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있었다는 사실을 확인했다.

KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 또 KT 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망 접속 이력이 있는 펨토셀은 지속해서 KT망에 접근할 수 있는 문제점이 발견됐다.

펨토셀 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안 체계 없이 펨토셀 제작 외주사에 제공했다. 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능했다. KT는 펨토셀 접속 인증 과정에서 비정상 IP 차단 및 검증 절차가 부실했던 것으로 나타났다.

소액결제 인증정보가 펨토셀을 통해 탈취됐을 가능성도 확인됐다. 조사단은 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 이후 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.

조사단은 불법 펨토셀을 통해 문자, 음성 통화 탈취가 가능한지 여부도 전문가 자문 및 추가 실험을 통해 조사할 방침이다.

현재 조사단은 경찰과 협력해 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중이다. 또한, 개인정보보호위원회와 함께 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사할 방침이다.

조사단은 유심 교체와 관련해선 "회사가 판단해야 하는 영역"이라며 "정부의 권고는 없었다"고 했다. 전 고객 위약금 면제 문제 또한 "확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용 약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 답했다.

과기정통부는 KT 유심 교체 과정에서 SKT 사태 때와 유사한 수급 대란 등이 벌어질 경우 영업 중단 조치를 내릴 수 있다고 밝혔다.

kxmxs4104@news1.kr