[엠투데이 이세민 기자] KT가 지난해 악성코드에 감염된 서버를 다수 발견하고도 이를 정부에 신고하지 않고 자체적으로 처리한 것으로 드러났다.
이번 무단 소액결제 해킹 사태의 근본 원인이 된 불법 초소형기지국(펨토셀) 관리 부실도 확인돼, KT의 내부 보안 체계 전반에 대한 신뢰가 흔들리고 있다.
6일 정부서울청사에서 열린 KT 침해사고 민관합동조사단(이하 조사단)의 중간 조사 결과에 따르면, KT는 2024년 3월부터 7월까지 총 43대의 서버가 악성코드에 감염된 사실을 인지했음에도 정부에 신고하지 않고 자체적으로 조치한 것으로 확인됐다.
특히, BPF도어는 올해 초 SK텔레콤 해킹 사건에서도 활용된 은닉성 높은 악성코드로,
KT 내부 시스템 일부가 이 코드에 감염된 상태에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 개인정보가 저장돼 있었다.
조사단은 “KT가 해킹 사실을 인지하고도 당국에 신고하지 않은 것은 정보통신망법 위반 소지가 크다”며, 관련 자료를 근거로 수사기관에 정식 의뢰했다고 밝혔다.
이번 해킹 사태의 또 다른 핵심 원인은 펨토셀(Femtocell) 관리 부실이다. 조사 결과, KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 인증서 사본만 확보해도 불법 펨토셀이 KT 내부망에 자유롭게 접속할 수 있었다.
또한 인증서 유효기간이 10년으로 설정되어 있어, 한 번 KT망에 접속한 펨토셀은 이후에도 무기한 재접속이 가능한 구조였던 것으로 드러났다.
조사단은 펨토셀 제조사가 셀 ID·인증서·KT 서버 IP 등 중요 정보를 외주업체에 무방비로 제공하고, 펨토셀 저장장치에서 이 정보를 손쉽게 추출할 수 있었던 점도 확인했다.
이와 같은 구조적 허점으로 인해 불법 펨토셀 해커가 KT망에 침투, 가입자 인증 정보와 통신 데이터를 실시간으로 탈취할 수 있었던 것으로 분석됐다.
그동안 미스터리로 남았던 소액결제 인증정보 유출 경로도 이번 조사에서 확인됐다. 조사단은 KT 단말과 코어망 간 종단 암호화가 해제된 상태였음을 밝혀냈다.
이는 국제표준화기구(3GPP)와 한국정보통신기술협회(TTA)가 권고하는 통신 보안 기준에 위배되는 상황이다.
암호화가 해제된 환경에서는 불법 펨토셀이 ARS·SMS 등 결제 인증정보를 평문(암호화되지 않은 데이터)으로 수집할 수 있으며, 조사단은 불법 펨토셀이 문자·음성 통화까지 도청이 가능한지 추가 실험 중이라고 설명했다.
KT는 경찰로부터 무단 소액결제 사례를 통보받은 이후에도 즉각적인 신고를 하지 않은 사실이 드러났다.
9월 5일 이상 통신 패턴을 감지했음에도 9월 18일에야 공식 보고했고, 일부 서버 폐기 시점을 허위로 보고한 정황도 확인됐다.
조사단은 “KT가 정부 조사에 비협조적인 태도를 보였으며, 악성코드 감염 사실을 은폐하려 한 고의성이 높다”고 판단, 검찰에 정식 수사를 요청했다.
과학기술정보통신부는 “KT의 펨토셀 관리 부실, 악성코드 발견 은폐, 지연 신고 등의 사실관계를 종합 검토해 약관상 위약금 면제 사유 및 행정 제재 여부를 결정할 계획”이라고 밝혔다.
한편 불법 펨토셀 해킹으로 인한 피해 규모는 368명, 총 2억4,319만 원, 펨토셀 20개에 접속한 2만2,227명의 가입자식별번호(IMSI), IMEI, 전화번호 등이 외부로 유출된 것으로 확인됐다.
Copyright ⓒ M투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
