KT, 작년 보안사고 터지고도 은폐…펨토셀 관리도 부실
KT 광화문 사옥 모습 / 사진 KT
KT가 지난해 서버의 악성코드 감염 사실에도 불구하고 정부에 해당 내용을 신고하지 않고 자체 처리한 것으로 드러났다. 은폐를 시도한 것으로 해석된다.
최근 발생한 소액결제 사건의 경우 기지국에 연결하는 펨토셀과 관련한 관리 체계 자체가 전반적으로 부실했던 것으로 확인됐다.
KT 침해사고 민관합동조사단(이하 조사단)은 6일 중간 조사결과를 발표하며 KT의 소형 기지국(펨토셀) 관리 부실과 침해사고 신고 지연 등 심각한 보안 문제를 확인했다.
조사단은 9월 8일 KT가 신고한 불법 펨토셀 침해사고와 관련해 ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출 ▲국가배후 조직의 KT 인증서 유출 정황 ▲외부 보안점검 중 발견한 서버 침해사고 등 3건을 조사했다.
소액결제 피해 규모 2억4000만원…정보유출 가입자 2만명 넘어
조사단은 지난해 8월 1일부터 올해 9월 10일까지 모든 기지국 접속 이력 약 4조 300억건과 KT 가입자 결제 약 1억 5000만건을 분석했다. 그 결과 불법 펨토셀 20개에 접속한 2만 2227명의 가입자 식별번호, 단말기 식별번호, 전화번호 유출이 확인됐으며, 368명이 2억 4319만원의 소액결제 피해를 입었다.
다만 통신기록이 없는 지난해 8월 1일 이전 피해는 파악이 불가능했고, 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있어 최종 피해 규모는 추가 확인이 필요한 상황이다.
펨토셀 관리 '구멍'…동일 인증서로 불법 접속 '쉬웠다'
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 지적했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 인증서를 복사하면 불법 펨토셀도 KT망 접속이 가능했다. 인증서 유효기간도 10년으로 설정돼 한 번이라도 접속한 펨토셀은 지속적으로 망 접속이 가능했다.
펨토셀 제조사는 셀 계정, 인증서, KT 서버 IP 등 중요정보를 보안관리 없이 외주사에 제공했고, 펨토셀 저장장치에서 해당 정보를 쉽게 추출할 수 있었다. KT는 내부망 접속 인증 과정에서 타사나 해외 IP 등 비정상 IP를 차단하지 않았고, 형상정보 검증도 하지 않았다.
조사단은 불법 펨토셀 접속 차단을 위해 ▲인증서 유효기간 단축(10년→1개월) ▲KT 유선 IP 외 차단 ▲형상정보 확인 및 인증 ▲제품별 별도 인증서 발급 등을 조치했다.
종단 암호화 해제로 인증정보 탈취
조사단은 전문가 의견과 시험 실험을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 암호화 해제 상태에서는 ARS·SMS 인증정보를 평문으로 취득할 수 있었던 것으로 판단했다.
불법 펨토셀을 통한 문자, 음성통화 탈취 가능성도 추가 조사할 계획이다.
악성코드 미신고·신고 지연 등 법령 위반 확인
조사단은 KT가 2024년 3~7월 BPFDoor, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리한 사실을 확인했다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호 등이 저장돼 있었다.
KT는 올해 9월 1일 경찰로부터 무단 소액결제 발생을 전달받고 5일 차단 조치했으나, 8일에야 침해사고를 신고해 지연 신고 사실도 드러났다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다.
인증서 유출 정황 관련 허위 보고도
프랙 보고서에 언급된 국가배후 조직의 KT 인증서 유출 정황과 관련해 KT는 8월 1일 관련 서버를 폐기했다고 답변했다. 하지만, 실제로는 8월 1일, 6일, 13일에 걸쳐 폐기했다. 폐기 서버 백업 로그가 있음에도 9월 18일까지 보고하지 않아 조사단은 위계에 의한 공무집행방해 혐의로 수사기관에 수사를 의뢰했다.
과기정통부 관계자는 "최종 조사결과를 투명하게 공개하고, 법률검토를 거쳐 KT의 위약금 면제 사유 해당 여부를 발표할 계획이다"고 말했다.
KT "통신 인프라 전반 근본적으로 재점검할 것"
KT는 6일 별도 입장문을 통해 무단 소액 결제 피해 및 침해 사고에 대한 정부 조사에 성실히 협조하며 네트워크 안전 확보와 고객 보호조치에 총력을 다하겠다고 밝혔다.
KT 측은 "민관합동조사단의 중간 조사 결과를 엄중하게 받아들인다"며 "악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다"고 말했다.
또 "정부 합동조사단 및 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다할 방침이다"며 "통신 인프라 전반을 근본적으로 재점검하고, 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 끝까지 책임을 다하겠다"고 덧붙였다.
