[속보] KT, 작년 ‘서버 43대’ 악성코드 감염 알고도 신고 안 해

BPF도어·웹셸 등…신고 없이 자체 조치
펨토셀 관리 총체 부실…모든 인증번호 동일, 유효기간 10년으로
단말-코어망’간 암호화 해제로 ‘소액결제’ 인증 정보 탈취

서울 도심 내 한 KT 대리점 인근 신호등에 빨간불이 켜져 있다. 임세준 기자

[헤럴드경제=고재우 기자] 무단 소액결제 해킹 사태를 일으킨 KT가 지난해 악성코드에 감염된 서버 43개를 발견하고도 이를 정부에 신고하지 않고 자체 조치한 것으로 나타났다.

이번 해킹의 주 원인이 된 불법 초소형기지국(펨토셀)의 총체적인 관리 부실도 드러났다. 납품되는 모든 펨토셀이 동일한 인증서를 사용하는 등 불법 펨토셀이 KT망에 쉽게 접속할 수 있는 환경이었던 것으로 확인됐다.

‘미스테리’로 남았던 소액결제 ‘인증’은 ‘단말-코어망’간 암호화가 해제돼, ARS·SMS 등 인증 정보가 탈취된 것으로 파악됐다.

김영섭 KT 대표가 지난 9월 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액 결제 피해와 관련해 고개 숙여 사과하고 있다. [연합]

서버 43대 악성코드 감염…모든 펨토셀 인증번호 동일, 총체적 관리 부실

6일 KT 침해사고 민관합동조사단(조사단)은 정부 서울청사에서 이 같은 내용이 포함된 중간 조사결과를 발표했다.

조사단은 KT가 지난해 3월~7월까지, BPF도어·웹셸 등 악성코드 감염 서버 43대를 인지하고도, 정부에 신고 없이 자체적으로 조치한 사실을 확인했다. 특히 일부 감염 서버에서는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다.

조사단은 해당 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획이다.

서울 도심 내 한 KT 대리점의 모습. 임세준 기자

이와함께 불법 펨토셀 관리 부실로, 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었던 것으로 확인됐다.

KT에 납품되는 모든 펨토셀은 동일한 인증서를 가지고 있었다. 해당 인증서 복사만으로 불법 펨토셀을 통한 KT 망 접속이 가능했다.

또 KT 인증서 유효기간이 ‘10년’으로 설정돼 있었다. 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀의 경우, 지속적으로 KT 망에 대한 접속이 가능했다.

조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 외주사에 제공한 사실도 확인했다. 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하거나 추출할 수 있었다.

또 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었다. 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.

이에 조사단은 불법 펨토셀 접속 차단을 위해 지난9월 통신3사의 신규 펨토셀 접속을 전면 제한했다.

KT에는 ▷펨토셀이 발급받은 통신사 인증서 유효기간 단축(10년 → 1개월) ▷펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 ▷펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 ▷펨토셀 제품별 별도 인증서 발급 등을 조치하도록 했다.

서울 도심 내 한 KT 대리점의 모습. 임세준 기자

소액결제 인증정보 탈취 ‘미스테리’… “단말-코어망 간 암호화 해제 탓”

미스테리였던 소액결제 ‘인증 정보’ 탈취는 ‘단말-코어망’간 암호화(종단 암호화)가 해제돼 가능했던 것으로 조사단은 파악했다.

종단 암호화는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따른 것으로, 단말에서 코어망까지 통신데이터 자체를 암호화하는 것을 일컫는다.

조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.

또한 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.

서울 도심 내 한 KT 대리점에 유심교체 업무 지원 안내문이 부착돼 있다. KT는 해킹 피해 후속 대책으로 전 가입자를 대상으로 무상 유심 교체를 시행한다. [임세준 기자]

아울러 서버 침해에 관련 지연 신고, 인증서 유출에 대한 허위 보고 등도 확인됐다.

KT는 지난 9월 1일 경찰로부터 무단 소액결제 발생을 전달받고, 같은 달 5일 이상 통신 호 패턴을 발견해 차단했음에도 뒤늦게야 신고했다. 외부 업체 보안점검을 통해 9월 15일 KT 내부 서버 침해 흔적을 확인했으나, 동월 18일에야 침해사고를 알리기도 했다. 각각 정보통신망법에 따른 3000만원 이하 과태료 부과 대상이다.

또 올해 8월 프랙보고서에 언급된 국가 배후 조직에 의한 인증서 유출 정황과 관련해 KT는 같은 달 1일 관련 서버를 폐기했다고 했다. 하지만 실제로는 1일(2대)·6일(4대)·13일(2대) 등 폐기 시점을 허위 보고했다. 특히 폐기 서버 백업 로그가 있음에도 9월 18일까지 보고하지 않았다.

이에 조사단은 정부 조사 방해를 위한 ‘고의성’이 있다고 판단해, 지난달 2일 수사기관에 수사 의뢰했다.

과학기술정보통신부는 “펨토셀 관리상 문제점, 과거 악성코드 발견 등 사실관계 및 추후 조사 결과를 토대로, KT 약관상 위약금 면제 사유에 해당하는지를 발표할 계획”이라고 밝혔다.

한편, 불법 펨토셀을 통한 소액결제 및 해킹 사태에서 368명, 2억4319만원 피해가 발생했다. 불법 펨토셀 20개에 접속한 2만2227명의 가입자식별번호(IMSI), IMEI, 전화번호 유출 정황도 확인했다.