(서울=뉴스1) 윤주영 기자 = KT(030200) 서버 43대가 해킹된 게 최근 밝혀지면서, 최악의 경우 SK텔레콤(017670) 유심대란에 준하는 수준으로 사태가 번질 수 있다는 우려가 나온다. SKT 때처럼 'BPF도어'·'웹셸' 악성코드를 통한 침투 정황이 확인된다.
문제는 해킹된 서버 일부에 '단말기 식별번호(IMEI)' 등 민감정보와 이름·전화번호가 담겼다는 점이다. 가입자를 사칭하는 복제폰 제작에 쓰일 수있다. 또 다른 필수 정보인 '가입자 식별번호(IMSI)' 역시 KT가 불법 초소형기지국(펨토셀) 연결을 허용하면서 탈취됐다.
이 때문에 복제폰이 통신망에 붙도록 하는 열쇠 역할을 하는 유심 인증키 탈취 여부를 최종 확인해야 한다는 지적이 나온다.
9일 과학기술정보통신부·한국인터넷진흥원(KISA) 등으로 구성된 민관조사단 관계자는 "KT 유심 인증키 관련해서는 현재까지 유출 정황이 확인되진 않지만, 이후 조사가 필요하다"고 설명했다.
올해 8월부터 드러난 KT 이용자 무단 소액결제 사건 이후 정부는 KT와 합동 조사에 들어갔다. 공격자가 불법 펨토셀만으론 소액결제에 필요한 정보를 다 얻지 못하기 때문이다. 따라서 서버 침해 여부도 확인해야 했다.
중간조사 결과에 따르면 KT 서버 43대는 최소 지난해 3월부터 BPF도어 및 웹셸에 감염됐다. 이 악성코드들은 공격자가 보안 설루션을 우회해 내부 망으로 접근할 수 있게 해 준다. 공격자는 접근 권한을 상승시켜가며 다른 서버로 이동할 수 있다.
정황을 종합하면 공격자가 IMSI·IMEI·이름·전화번호 등은 확보했을 거란 게 중론이다. 다만 SKT 때처럼 유심 인증키(Ki, Opc)까지 유출됐는지는 아직 확인하지 못했다.
보안업계 관계자는 "공격자가 IMEI, IMSI 정보를 갖고 복제폰을 만들어도, 유심 인증키가 없으면 이통사 망에 붙을 수 없다"며 "인증키 DB가 유출됐는지, 그리고 그것이 암호화된 상태였는지를 봐야 한다"고 설명했다.
실제로 SKT의 경우 유출된 인증 키가 암호화되지 않은 상태였기 때문에 심각성이 컸다. 복제폰을 악용한 금융범죄 우려를 불식시키고자, SKT는 비정상 인증 차단 시스템(FDS), 물리적 유심교체 등 온갖 수단을 동원했다.
이 관계자는 "추가 조사를 통해 해커가 내부 망에서 어떻게 횡이동했을지를 분석해야 한다"고 말했다.
한편 백도어 일종인 BPF도어는 중국·북한 해커 집단이 주로 사용하는 악성코드로 알려졌다. 수년간 잠복했다가 공격자가 보내는 특정 신호인 '매직 패킷'을 받아 발동한다.
미국 보안기업인 트렌드마이크로는 공격 집단이 널리 쓰이는 '이반티 가상사설망(VPN)'의 취약점을 악용해 BPF도어 공격을 감행했을 수 있다고도 분석했다. SKT와 KT 모두 이반티 VPN을 쓴 것으로 알려졌다.
SKT 사태 이후 KT 역시 BPF도어 감염 여부를 6월 조사받았지만, 그때는 감염이 드러나지 않았다. KT가 지난해 서버 감염을 보안 당국에 신고하지 않고 자체 처리한 탓이다.
legomaster@news1.kr
