일반 문자·통화 도청 가능성도…일파만파 커지는 KT 해킹

(서울=뉴스1) 나연준 기자 = KT(030200) 해킹 사태 파장이 갈수록 확산하고 있다. 범죄자들이 종단 암호화를 해제했던 것으로 파악되면서 일반 문자 및 통화 내용까지 탈취됐을 가능성도 제기된다.

9일 통신 업계에 따르면 민관 합동조사단은 불법 펨토셀을 통해 소액결제 인증 정보뿐만 아니라 어떠한 정보들에 접근할 수 있었는지 등 조사를 이어가고 있다.

합동조사단은 해커들이 불법 펨토셀에서 소액결제 인증정보(ARS, SMS) 등의 종단 암호화 과정을 무력화해 해당 정보를 탈취한 것으로 판단했다. 종단 암호화는 단말에서 코어망까지 문자 및 음성 시그널링(통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보)을 암호화하는 것이다. 하지만 해커들은 암호를 풀고 평문의 인증정보를 탈취해 범행에 사용한 것으로 보인다.

종단 암호화를 해제하는 것이 가능했다면 소액결제 관련 인증 정보뿐만 아니라 일반 문자, 음성통화 내용 등의 탈취가 이루어진 것 아니냐는 우려도 나온다.

염흥열 순천향대 정보보호학과 교수는 "해커가 펨토셀 기지국에 침투해 인증정보 관련 암호화를 풀어버리는 다운그레이드를 했다면 일반 문자를 가로채거나 통화 도청 등도 가능했을 수 있다"고 말했다.

해커들이 일반 문자나 통화 내용까지 가로챌 수 있다면 이번 사태의 심각성은 더욱 커질 수밖에 없다. 범죄자들이 국가 안보 또는 특정 산업의 주요 정보를 탈취하기 위해서 범행을 계획할 수도 있기 때문이다. 사건 초기부터 범죄자들이 소액결제 해킹을 넘어 더 광범위한 정보 수집을 목표로 범행 시도했을 것이라는 분석도 꾸준히 제기됐었다.

합동조사단은 일반 문자 및 음성 통화 도청 등 관련해서 전문가 자문, 추가 실험 등을 통해 조사를 이어갈 방침이다.

KT가 정부에 신고하지 않은 악성코드 감염 서버도 향후 합동조사단의 조사에서 예의주시해야 할 부분이다. 현재까지 명확하게 드러나지 않았던 소액결제에 필요한 개인정보 등이 해당 서버에서 빠져나갔을 가능성도 배제할 수 없다.

합동조사단은 KT가 2024년 3월~7월에 43대의 서버가 BPF도어, 웹셸 등에 감염됐던 사실을 파악하고도 정부에 신고하지 않았다고 밝혔다. 일부 감염서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등이 저장되어 있던 것으로 파악됐다.

감염서버 중에는 펨토셀 관련 정보를 다루는 서버도 포함된 것으로 드러났다. 소액결제 사태와 침해 서버와의 연결성을 밝혀내는 것도 추후 합동조사단의 풀어야 할 부분이다.

조사단 관계자는 "관련 서버 포렌식 등 아직은 조사가 더 필요하다"며 모든 가능성을 열어두고 조사를 진행하겠다고 밝혔다. 추후 조사 결과에 따라 KT 해킹 사태의 피해자 수, 피해 규모 등도 늘어날 수 있다.

yjra@news1.kr