국정원 “KT 일부 스마트폰서 문자 암호화 해제”…두달 전 정부·KT에 통보했다

KT가 해킹 피해 후속 대책으로 전 가입자를 대상으로 무상 유심 교체를 시작한 지난 5일 서울 KT플라자 여의도역점에서 직원들이 유심 교체 안내 포스터를 붙이고 있다. 문재원 기자

국가정보원이 두 달 전 KT 사용자의 일부 스마트폰에서 문자메시지(SMS) 암호화가 해제될 수 있는 사실을 확인하고 과학기술정보통신부와 KT에 이를 통보한 것으로 드러났다.

13일 국정원이 국회 과학기술정보통신위원회 소속 최민희 더불어민주당 의원에게 제출한 자료에 따르면, 국정원은 KT의 일부 스마트폰 기종에서 SMS 암호화가 해제된다는 제보를 입수해 검증했고, 그 내용이 사실임을 확인했다.

이동통신사들은 국제표준화기구와 한국정보통신기술협회 권고에 따라 단말기와 통신 핵심망(코어망) 사이를 오가는 문자 등 통신 데이터를 암호화한다. 그러나 이 ‘암호화’ 안전 장치가 KT 사용자의 특정 기종에서 무력화된 것이다.

국정원은 이 사안을 국가 사이버안보에 위협이 될 수 있는 문제로 판단해 KT와 과기정통부에 관련 정보를 전달했다. 다만 암호화 해제가 발생한 스마트폰 기종, 원인, 정보 유출 여부 등은 공개하지 않았다.

KT의 문자 암호화 해제 문제는 지난 6일 과기정통부 주도의 민관합동조사단이 발표한 KT 해킹 중간조사 결과에서도 확인된 바 있다. 조사단에 따르면, KT 무단 소액결제 사태의 범행 장비로 지목된 불법 초소형 기지국(펨토셀)을 장악한 자는 자동응답(ARS)·SMS를 통한 인증 정보를 평문으로 확인할 수 있었다. 조사단은 인증 정보 외에 일반 문자와 음성 통화까지 탈취 가능한지에 대해서도 추가 분석을 진행 중이다.

KT가 지난해 악성코드 감염 사실을 조직적으로 은폐한 정황도 다시 확인됐다. 최 의원이 과기정통부로부터 받은 자료를 보면, KT는 지난해 3월 발생한 ‘BPF 도어(Door)’ 악성코드 감염을 다음달인 4월 확인한 뒤 대만 보안업체 트렌드마이크로에 관련 백신 업데이트를 요청했다. 트렌드마이크로는 당시 한국 기업이 BPF 도어 공격을 받았다는 사실을 공개했지만, 고객사라는 이유로 기업명은 밝히지 않았다.

KT의 은폐 시도는 7개월 뒤 민관합동조사 과정에서 ‘백신 흔적’이 발견되면서 드러났다. 조사단에 따르면 BPF 도어에 감염됐던 KT 서버 43대에는 고객 이름, 전화번호, e메일 주소, 단말기 식별번호(IMEI) 등 개인정보도 저장돼 있었다.

BPF 도어는 앞서 SK텔레콤에서 고객 약 2300만명의 정보를 탈취한 통로로 지목된 악성코드로, KT 역시 개인정보 유출 가능성이 높은 상황이었다. 그럼에도 KT는 사이버 침해 사실을 당국에 신고하지 않고 백신 업체를 통해 자체 해결을 시도한 셈이다. 과기정통부는 국회 제출 자료에서, KT가 이와 관련해 피해 사실 등을 보고한 내역이 없다고 밝혔다.

KT는 악성코드 공격은 받았으나 고객 개인정보 유출 등의 피해 사실은 없었다는 입장이다. KT 관계자는 “악성코드 감염을 파악했을 당시 담당 부서에서 정보 유출 등 피해 사실은 없다고 판단했던 것으로 안다”고 말했다.

송윤경 기자 kyung@kyunghyang.com