article_right_top
KT 침해사고를 조사해 온 민관합동조사단(이하 조사단)이 11월 6일, 중간 조사 결과를 발표하며 KT의 심각한 보안 부실 및 비협조적 태도를 공개했다. 이번 사고는 불법 소형 기지국(펨토셀)이 KT의 허술한 인증 관리를 틈타 사용자들의 소액결제 인증정보를 평문으로 탈취한 것으로 밝혀졌다. 특히 KT가 과거 악성코드 감염 사실을 정부에 신고하지 않고 은폐하려 한 정황, 또 조사 과정에서 허위 사실을 제출하고 조사를 방해한 고의성까지 드러나 파장이 커지고 있다.
이번 침해사고의 핵심은 불법 소형 기지국(불법 펨토셀)이 KT 망에 쉽게 접속해 사용자 정보를 탈취했다는 점이다. 먼저 KT에 납품된 모든 소형 기지국이 동일한 인증서를 사용하고, 해당 인증서 유효 기간이 무려 10년으로 설정되어 있어, 불법 펨토셀도 인증서 복사만으로 KT 내부망에 접속이 가능했다. 소형 기지국 제조사가 셀 계정, 인증서, KT 서버 IP 등 중요정보를 보안 관리 체계 없이 외주사에 제공했으며, 펨토셀 저장 장치에서 해당 정보의 추출이 용이했음이 확인되었다.
이번 사단은 시험을 통해 불법 펨토셀을 장악한 자가 단말-핵심망(코어망) 간 종단 암호화를 해제할 수 있었으며, 이 상태에서 소액결제 인증정보인 ARS, SMS를 평문으로 취득할 수 있었던 것으로 판단했다. 조사단은 KT에 ▲소형기지국 인증서 유효 기간 단축(10년 → 1개월), ▲비정상 IP 차단, ▲형상 정보 검증 인증, ▲제품별 별도 인증서 발급 등의 강력한 보안 조치를 명령했다.
또 KT는 통신기록이 남아있는 2024년 8월 1일부터 2025년 9월 10일까지의 접속 이력을 분석했다. 그 결과 불법 펨토셀 20개에 접속한 22,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 유출 정황이 확인되었다. 또한 368명에게 총 2억 4,319만 원의 소액결제 피해가 발생했다고 KT는 발표했다. 다만, 통신기록이 없는 2024년 8월 1일 이전 피해는 파악이 불가능하며, 조사단은 누락된 피해자 존재 여부를 최종 확인 후 발표할 계획이다.
이번 조사에서 KT가 과거 침해사고를 인지하고도 은폐 및 지연 신고한 사실과 조사 방해 정황까지 드러나 충격을 더하고 있다. KT는 2024년 3월부터 7월 기간 동안 BPFDoor, 웹셸 등 악성코드 감염 서버 43대를 발견하고도, 정부에 신고하지 않고 자체적으로 조치했으며, 일부 서버에서 성명, 전화번호, 이메일 주소 등이 저장되어 있었음을 확인했다.
또 무단 소액결제 발생 사실을 경찰로부터 전달받고 내부 차단 조치를 했음에도 불구하고, 9월 8일(19:16)에야 당국에 침해 사고를 지연 신고했다. 또한 외부 업체 보안 점검에서 서버 침해 흔적을 발견하고도 9월 18일(23:57)에 지연 신고했다. 국가 배후 조직에 의한 KT 인증서 유출 정황과 관련, KT는 서버 폐기 시점을 당국에 허위로 제출했으며, 서버 백업 기록(로그)이 있음에도 9월 18일까지 조사단에 보고하지 않았다. 조사단은 이를 정부 조사 방해를 위한 고의성이 있다고 판단, 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.
과학기술정보통신부는 최종 조사 결과를 투명하게 공개하고, KT의 법규 위반 사항과 지금까지 확인된 사실관계를 토대로 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
-이정직기자
이정직기자
<저작권자 © 재난포커스 무단전재 및 재배포금지>
