조사단 "개인정보 유출 정황은 없어"…악성코드 공격과 연관성에 의문부호
경찰, 신원 특정한 상선은 중국인 1명뿐…국제공조 요청 외 방법 없어
(서울·수원=연합뉴스) 조성미 강영훈 김솔 기자 = KT 무단 소액결제 사건에 대한 당국의 조사가 마무리됐지만, 해커가 결제에 필요한 핵심 정보인 가입자 정보를 어떻게 얻었는지는 끝내 밝혀지지 않았다.
일각에서는 3년여 전부터 KT 서버에 가해진 악성코드 공격 여파로 유출된 가입자 정보를 해커가 입수해 범행했을 가능성을 제기하고 있다.
하지만 한편에서는 KT 악성코드 공격과 무단 소액결제 사건의 연관성에 대해 단정 지을 수 없다는 의견이 많아 당국의 최종 발표에도 여전히 의문이 남는다.
◇ KT 가입자 정보 유출 정황 없다지만…"로그 분석에 한계"
민관합동조사단(이하 조사단)은 29일 KT 침해 사고 최종 조사결과 발표에서 KT 전체 서버 점검 및 감염서버 포렌식을 통해 BPF도어 등의 악성코드가 다수 감염된 사실을 확인했다고 밝혔다.
가입자 정보 유출과 관련, 조사단은 일부 악성코드 감염 서버에 이름, 전화번호, 이메일 주소 등 개인정보가 저장돼 있었지만, 유출 정황이 없다고 했다.
그러나 이는 해커의 활동을 추적할 수 있는 로그 기록이 남아있는 기간에 한정된 진단으로, 로그 기간 이외의 유출 여부는 확인할 수 없는 제한적인 추정이라고 볼 수 있다.
서버 내부 파일 접근과 실행, 오류 등 동작을 기록하는 시스템 로그 보관 기간을 KT가 설정한 기간이 1∼2개월에 불과했고, 주요 시스템에 방화벽 등 보안 장비가 없이 운영해 로그 분석에 한계가 많았다는 설명이다.
국내 모 보안업체 대표는 "악성코드 감염에 따른 서버 해킹과 펨토셀 해킹이 연결돼 있다고 단정하기 어렵다"면서도 "이 정도 규모로 서버 해킹이 전방위적으로 일어난 상황이라면 사이버 보안 관리에 총체적인 구멍이 있다는 이야기여서 여러 사건이 영향을 준 것처럼 보일 수 있다"고 말했다.
조사단은 해커가 불법 펨토셀에서 탈취한 정보를 '미상의 방법'으로 손에 쥔 가입자 정보와 결합해 무단 소액결제를 일으킨 것으로 판단된다고 발표했는데, 사건의 핵심인 가입자 정보 취득 경위를 밝히지 못한 상태에서 이 같은 발표를 했다는 점에서 미완의 조사라는 지적이 나온다.
아울러 사건 피해자 중에는 SMS나 ARS 인증 외에도 패스앱 인증이나 카카오톡 결제내역 수신 및 로그아웃, 네이버 인증 수신 및 로그아웃 등의 사례를 밝힌 경우가 있어 이러한 유형의 부정 인증이 어떻게 이뤄졌는지 밝혀지지 않은 한계도 있다.
한 보안 전문가는 "일단 BPF도어 악성 파일이 감염되면 피해 서버로 연결된 네트워크에 공격자가 쉽게 들어와 하고 싶은 것을 마음대로 할 수가 있게 되므로, 내부에 저장된 중요한 데이터를 엿보거나 탈취도 가능하다"며 여전히 의문점이 많이 남은 최종 조사 결과라고 지적했다.
◇ 상선 규모조차 파악 못해…'누가 어떤 목적으로 범행했나' 오리무중
경기남부경찰청 사이버수사과(이하 경찰)는 불법 기지국(펨토셀) 장비를 전달하는 등 범행을 총괄한 중국인 상선 1명의 신원을 특정하고, 인터폴 적색수배를 했다고 밝혔다.
경찰이 신원을 특정한 '윗선'은 이 외에 아무도 없다.
불법 펨토셀 장비를 차량에 싣고 상선의 지시대로 움직인 꼬리 격인 장비 운용책 일부만 검거에 성공한 데다 이들 각각의 상선이 서로 다른 사람일 가능성도 배제할 수 없다는 점을 고려하면 경찰 수사 역시 한계가 있다는 지적이다.
경찰은 상선을 검거해 그의 상선, 또다시 그의 상선을 타고 올라가 봐야 범행의 전모를 밝힐 수 있을 것이라는 입장이다.
하지만 중국에 거점을 둔 중국인 상선의 신병을 확보하는 데에는 많은 난관이 따를 것으로 보인다.
국제법상 각국의 수사 권한은 자국 내로 한정돼 있어 우리 경찰이 중국에서 그를 추적하는 수사를 벌이는 것은 불가능해서 인터폴을 통한 국제 공조 요청 외에는 할 수 있는 일이 제한적이기 때문이다.
경찰 수사가 마무리됐으나, 누가 어떤 목적으로 범행했는지 확실치 않은 상태이다.
해커를 비롯한 이 사건 일당이 들인 품에 비해 얻은 이익(피해금액 2억4천300여만원) 적다는 점도 소액결제가 아닌 범행 취지가 다른 곳에 있는 것 아니냐는 의문을 가지게 한다.
실제로 조사단은 KT의 펨토셀 관리 전반이 부실해 불법 펨토셀 장비가 언제 어디서든 KT 내부망에 접속할 수 있었고, 통신 트래픽 캡처가 가능한 불법 펨토셀 장비와 연결이 된 가입자 단말기에서 송·수신되는 문자메시지와 음성통화 정보를 탈취할 수 있었다는 사실이 확인됐다고 밝혔다.
이와 관련, 경찰은 불법 펨토셀 장비의 두뇌 역할을 한 것으로 추정되는 노트북과 휴대전화는 확보하지 못했다.
경찰 관계자는 "불법 펨토셀 장비를 원격 조종하는 장치로 보이는 노트북은 소액결제 범행 직후 다른 경로를 통해 중국으로 넘어가 확보할 수 없었다"며 "이와 더불어 상선에 대한 검거가 이뤄지지 않아 정확한 범행 목적에 대해서는 현 단계에서 말하기 어렵다"고 했다.
kyh@yna.co.kr
Copyright ⓒ 연합뉴스 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
