 |
| (사진=연합뉴스) |
[알파경제=이준현 기자] KT가 지난해 서버 해킹 사실을 자체 파악하고도 당국에 신고하지 않은 채 은폐한 것으로 파악됐다.
KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 정부서울청사에서 중간 조사 결과 브리핑을 열고 이같이 밝혔다.
조사단은 서버 포렌식 분석을 통해 KT가 지난해 3월부터 7월까지 악성코드에 감염된 서버 43대를 발견했으나 당국에 신고하지 않고 자체 조치했다고 밝혔다.
문제가 된 악성코드는 BPF도어와 웹셸 등이다. BPF도어는 올해 초 SK텔레콤 해킹 사건에서도 사용된 은닉성이 강한 악성코드로 알려졌다.
KT는 SK텔레콤 사태 이후 당국이 해당 악성코드 감염 여부를 업계 대상으로 전수조사할 때도 이 사실을 밝히지 않았다.
조사 결과 감염 서버에는 이름, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장돼 있던 것으로 확인됐다.
조사단은 "KT가 지난해 해킹 사실을 발견하고도 당국에 알리지 않고 은폐한 정황을 엄중히 보고 있다"며 "사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 말했다.
이번 조사에서는 무단 소액결제 사건의 원인이 된 초소형 기지국(펨토셀) 운영 및 내부망 접속 과정에서도 보안 문제가 확인됐다.
KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었다.
인증서 유효기간도 10년으로 설정돼 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속적으로 접속이 가능했다.
KT는 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했으며, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출할 수 있었던 것으로 드러났다.
내부망에서 펨토셀 접속 인증 과정에서도 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고, KT 망에 등록된 정보인지 여부도 검증하지 않았다.
단말과 기지국 간, 단말과 코어망 간 종단 암호화를 하고 있었지만 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었던 것으로 파악됐다.
암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있었다.
조사단 조사 결과 불법 펨토셀 20대를 통해 2만2227명의 가입자 정보가 외부로 유출됐고, 368명의 이용자에게 총 2억4319만원 규모의 무단 소액결제 피해가 발생한 것으로 집계됐다.
조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 방침이다.
조사단은 "적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 KT의 피해자 분석 방식을 재점검해 누락된 피해자 존재 여부도 확인할 계획이라고 덧붙였다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
