국정원 “KT 일부 스마트폰 문자 암호화 풀려...직접 확인”

KT, 해킹 가능성 제보받고도 침묵
BPF도어 감염 사실도 뒤늦게 드러나
최민희 “KT 경영진 책임 끝까지 묻겠다”

▲ KT가 해킹 피해 후속 대책으로 전 고객을 대상으로 유심 무상 교체를 시행한 5일 춘천의 한 KT 매장앞을 한 시민이 지나고 있다. KT는 시행 초기 신청이 집중될 가능성을 고려해 광명, 금천 등 피해 발생 지역을 우선 진행하고 강원지역은 오는 19일부터 접수를 받을 예정이다. 방도겸 기자

국가정보원이 지난 9월 KT 일부 스마트폰에서 문자 메시지(SMS) 암호화가 해제되는 취약점을 직접 확인해 KT와 과학기술정보통신부에 통보한 사실이 알려졌다.

국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)이 13일 공개한 국정원 제출 자료에 따르면, 국정원은 “KT의 일부 스마트폰 기종에서 문자 암호화가 해제될 수 있다”는 제보를 받고 사실관계를 점검한 결과 종단 간 암호화(E2EE)가 적용되지 않아 중간 서버에서 복호화가 가능한 문제를 확인했다.

이동통신 3사는 국제표준화기구(ISO)와 한국정보통신기술협회(TTA) 권고에 따라 중간 단계에서 내용을 확인할 수 없도록 종단 암호화를 적용해 왔지만, KT 일부 기종에서는 이 보호 장치가 해제된 셈이다.

국정원은 취약점이 나타난 기종·발생 경위·실제 유출 여부는 밝히지 않았고, 정부·민간 합동 조사단은 “KT 전체 가입자 망에서도 동일 현상이 재현될 수 있는지”를 추가 조사 중이다.

조사단은 이번 사건을 앞서 발생한 KT 소액결제 해킹과도 연관해 살피고 있다. 당시 해커가 피해자의 문자·ARS 인증정보를 탈취한 사실이 확인된 가운데, 조사단은 불법 중계기지국(펨토셀)이 악용돼 KT 코어망으로 전달되는 SMS·ARS 신호의 암호화가 해제되고 평문으로 가로채졌을 가능성을 기술적으로 검증했다고 밝혔다.

현재는 인증정보뿐 아니라 일반 문자·통화 내용에 대해서도 외부 접근 가능성을 정밀 분석하고 있다.

한편 최민희 의원이 과기정통부로부터 추가로 제출받은 자료에서는 KT의 악성코드 ‘BPF도어(BPFDoor)’ 감염 사실이 뒤늦게 파악된 정황도 확인됐다.

KT는 지난해 3월 감염 사실을 인지하고도 4월에서야 이를 명확히 확인한 뒤 대만 보안업체 트렌드마이크로에 대응을 요청했다. 트렌드마이크로는 한국 통신사를 겨냥한 BPF도어 공격 사례를 발표했으나 고객사 사정을 이유로 통신사명을 공개하지 않았다.

감염 서버는 총 43대로, 이 중에는 가입자 개인정보가 저장된 서버도 포함된 것으로 알려졌다. 최 의원은 “KT가 국정원 통보에도 제대로 대응하지 않았고 BPF도어 감염도 외부에 알리지 않았다”며 조직적 은폐 가능성을 제기했다.

KT는 “당사의 식별·조치 시점은 4~7월이며 트렌드마이크로가 언급한 시점과는 차이가 있다”고 해명하면서, 과기정통부에 ‘피해 사례 없음’으로 보고한 이유에 대해 “침해는 있었으나 실제 피해가 확인되지 않았다”고 설명했다. 논

란의 핵심은 감염 사실과 대응 시점의 괴리, 개인정보 서버까지 놓친 관리 책임, 조기 차단·공개 의무가 적절히 이행됐는지 여부다. 정부·민간 합동 조사단은 문자 암호화 해제 현상과 악성코드 감염, 소액결제 해킹이 기술적으로 어떤 연관을 갖는지, 실제 정보 유출이 발생했는지를 규명하기 위한 조사를 이어가고 있다.