KT, 1년 전 몰래 서버 감염 덮었다…조사단 “43대 해킹 확인” 엄중 조치

【뉴스퀘스트=김어진 기자】 KT가 무단 소액결제 사태 발생 1년 전인 지난해, 대규모 서버가 악성코드에 감염된 사실을 인지하고도 정부에 이를 신고하지 않은 것으로 드러났다.

과학기술정보통신부 민관합동조사단은 6일 정부서울청사에서 열린 브리핑에서 “KT가 지난해 서버 감염 사실을 파악하고도 자체 조치에 그쳤다”며 “은폐 정황을 엄중히 보고 있다”고 밝혔다.

조사단에 따르면 KT는 지난해 3~7월 사이 ‘BPF도어’ ‘웹셸(Web Shell)’ 등 악성코드에 감염된 서버 43대를 발견했음에도 이를 정부에 신고하지 않고 자체 조치했다.

BPF도어는 올해 초 SK텔레콤 해킹 사고에서도 피해를 유발한 악성코드로 알려져 있다.

KT는 해당 서버들에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다고 조사단에 보고했다. 

조사단은 “KT가 해킹 사실을 인지하고도 신고 의무를 다하지 않은 것은 중대한 사안”이라며 “사실관계를 면밀히 규명한 뒤 관계기관과 협력해 필요한 조치를 취할 계획”이라고 말했다. 

조사단은 불법 초소형 기지국(펨토셀)에 의한 소액결제·개인정보 유출 사고 조사에서도 KT의 보안 관리 체계 미비를 확인했다고 밝혔다.

KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 이를 복제하면 불법 펨토셀 역시 KT 내부망에 자유롭게 접속이 가능했다.

또한 인증서 유효기간이 10년으로 설정돼 있어, 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 접속할 수 있는 구조로 드러났다.

펨토셀 제조사는 셀ID, 인증서, KT 서버 IP 등 주요 정보를 보안 관리 없이 외주 제작업체에 제공한 것으로 조사됐다. 이 때문에 펨토셀 저장장치 내에서 해당 정보를 쉽게 추출할 수 있는 취약점도 존재했다.

KT는 내부망 인증 과정에서 타사·해외 IP 등 비정상 접근을 차단하지 않았으며, 망 등록 여부 검증 절차도 부재했던 것으로 확인됐다.

조사단은 이번 사고에서 소액결제 인증정보가 펨토셀을 통해 유출됐을 가능성도 있다고 밝혔다. 

KT는 단말기와 기지국 간, 단말기와 코어망 간 통신 구간에 종단 암호화를 적용했지만, 불법 펨토셀을 장악한 공격자가 암호화를 해제할 수 있는 구조적 허점이 있었다.

이 경우 ARS, SMS 등 결제 인증정보가 평문(암호화되지 않은 상태)으로 노출될 수 있다. 조사단은 “펨토셀을 통해 결제 인증정보뿐 아니라 문자·음성 통화 등 기타 통신 데이터 탈취가 가능한지도 추가 조사할 계획”이라고 설명했다.

조사단은 개인정보보호위원회와 협력해 무단 소액결제에 활용된 개인정보 확보 경로를 추적하고, KT의 해킹 은폐 정황 및 관리 부실에 대한 추가 조사를 이어갈 방침이다.

과학기술정보통신부는 이번 조사 결과를 토대로 KT의 보안 관리 미비가 위약금 면제 사유에 해당하는지 법률 검토를 진행하고 있으며, 조사 완료 후 별도의 제재 여부를 발표할 계획이다.

<세상을 보는 바른 눈 '뉴스퀘스트'>