"KT 통신망 '보안' 다 뚫렸다"…과기부, 정보유출 침해 사고 결과 발표

콕스뉴스 0 1 12.29 22:02

https://www.coxnews.co.kr/news/articleView.html?idxno=4168 + 1 https://cdn.coxnews.co.kr/rss/gn_rss_allArticle.xml + 1

29일 정부 서울청사 브리핑실에서 KT와 LG유플러스 정보유출 사고 관련 조사 결과를 발표하는 류제명 과기정통부 제2차관 / 사진 문체부 이브리핑

한국은 3G 통신방식(CDMA) 도입 후 통신 도감청이 불가능하게 조치했지만, 펨토셀 해킹은 이런 통신 서비스의 암호화 조치를 무력화하는 것으로 확인됐다. 마음만 먹으면 통신망을 쓰는 통화와 문자메시지를 얼마든지 도청할 수 있다는 말이다. 최근 개인정보 유출과 무단 결제 사고가 발생한 KT 통신망의 위험했던 상황에 대한 얘기다.

정부는 KT의 통신망 관리 부실로 정보유출 등 사고가 발생한 만큼, 전체 가입자의 위약금을 면제하는 강력한 조치를 발표했다. KT는 빠르면 30일 기존 고객에 대한 보상안을 발표한다.

과학기술정보통신부는 29일 KT와 LG유플러스 침해사고에 대한 민관합동조사단의 최종 조사결과를 발표했다.

KT의 경우 펨토셀 보안 관리 부실과 통신 암호화 해제 등 총체적 보안 허점이 확인됐고, LG유플러스는 조사 과정에서 주요 자료를 폐기하거나 허위자료를 제출한 정황이 드러나 수사 의뢰까지 이뤄졌다. 정부는 KT에 대해 위약금 면제 규정 적용 가능성을 언급하며 통신사 책임을 명확히 했다.

KT에서 발생한 불법 팸토셀 기반 해킹 사고를 설명하는 인포그래픽 / 사진 과기정통부

조사단은 먼저 KT 침해사고 경위를 집중적으로 점검했다. KT는 9월 일부 이용자의 의심 소액결제 사례를 추적하는 과정에서 공식 등록되지 않은 불법 펨토셀이 내부망에 접속한 사실을 확인하고 KISA에 신고했다.

정부는 금전 피해가 수반되고 공격 방식이 구조적 위험을 내포하고 있다고 판단, 민관합동조사단을 꾸려 KT 펨토셀 관리체계와 전체 서버 약 3만3천대를 대상으로 대규모 점검에 착수했다.

그 결과, 불법 펨토셀로 인해 2만2227명의 IMSI·IMEI·전화번호가 유출됐으며, 368명의 이용자가 총 2억4300만원 규모의 무단 소액결제 피해를 입은 것으로 확인됐다.

여기에 더해 KT 내부 서버 94대가 총 103종의 악성코드에 감염된 사실도 드러났다. 특히 일부 감염서버에서는 루트킷, BPFDoor 등 은닉형 악성코드가 확인됐지만, 로그 기록 보관이 1~2개월에 불과해 과거 유출 여부를 완전히 확인하는 데는 한계가 있었다.

사고 원인 분석에서도 ‘허술한 보안 거버넌스’가 핵심 문제로 지적됐다. KT는 동일 제조사 펨토셀에 공통 인증서를 사용했고, 인증서 유효기간도 10년으로 설정돼 있었다. 여기에 해외 IP 접속 차단 등 기본적인 접근통제도 적용되지 않았다.

조사단은 “불법 펨토셀이 언제든 KT망에 접속 가능한 구조였다”고 강하게 비판했다.

실제로 공격자는 인증서를 복제한 뒤 강한 전파를 이용해 정상 단말을 불법 펨토셀로 유도하고, 이를 통해 ARS·SMS 인증정보까지 탈취한 것으로 드러났다.

통신사의 통신 암호화 체계를 설명하는 이미지 / 사진 과기정통부

문제는 통신 암호화 체계에서도 발생했다. 원칙적으로 단말과 코어망 사이 종단 암호화가 유지돼야 하지만, 불법 펨토셀을 통해 암호화가 해제되는 취약점이 존재했던 것이다.

일부 단말기(SMS 평문 전송 기종)는 아예 암호화가 적용되지 않은 사실도 확인됐다. 정부는 즉각 암호화 설정 보완을 지시했고, KT는 뒤늦게 기술적 조치를 완료했다.

조사단은 KT의 보안 관리 전반에도 구조적 문제가 있었다고 평가했다. 침해흔적이 남은 서버가 존재했음에도 정부 신고 없이 자체 조치에 머문 점, EDR·방화벽 등 기본적인 보안솔루션 운영 미흡, 로그 단기 보관 등 위험 관리 소홀 사례가 복합적으로 드러났다는 것이다.

KT는 ▲펨토셀 인증서 유효기간 단축 ▲형상정보 기반 인증 강화 ▲비정상 IP 차단 ▲단말~코어망 구간 종단 암호화 유지 등을 포함한 재발방지 대책을 내놓았다. 정부 역시 펨토셀 전반 보안정책 수립과 이상징후 상시 모니터링 체계 구축을 주문했다.

LG유플러스 침해사고 조사에서는 더욱 심각한 문제가 드러났다. 익명 제보로 시작된 침해 정황 확인 과정에서 LGU+가 주요 서버를 폐기하거나 허위자료를 제출한 사실이 확인된 것이다.

조사단은 “사실관계 확인 자체가 불가능해졌다”며 위계에 의한 공무집행방해 혐의로 수사를 의뢰했다.

과기정통부는 KT 침해사고와 관련해 “펨토셀 관리 부실 등 KT의 명백한 과실이 인정된다”며 KT가 이용자 보호라는 계약상 핵심 의무를 다하지 못했다고 판단했다. 이에 따라 KT 이용약관 상 위약금 면제 규정 적용 가능성을 공식적으로 제시했다.

과기정통부는 "이번 사태를 계기로 통신 3사의 보안 관리를 전면 점검하고, 암호화·인증·로그관리 등 기본 보안을 더욱 강화하겠다"며 "통신망이 곧 국가 핵심 인프라로 간주되는 만큼 이용자 신뢰 회복이 최우선 과제다"라고 밝혔다.