KT 해킹 방지대책 재점검...과태료 부과, 경찰 수사
정부가 KT의 사이버 침해사고를 조사한 결과 펨토셀 관리와 내부망 접속 인증, 통신 암호화 등에 문제점이 나타난 것으로 파악했다. 또 정보보안 거버넌스가 작동하지 않고 과거 침해사고를 신고하지 않은 점을 문제점으로 꼽았다. 이에 침해사고 사실 지연 신고와 조사 방해 등으로 과태료와 경찰 수사 의뢰를 결정했다. 재발 방지 대책에 대한 이행계획을 내년 6월까지 다시 점검키로 했다. 과학기술정보통신부는 29일 KT 침해사고에 대한 민관합동조사단 조사 결과 브리핑을 통해 이같이 밝혔다. 펨토셀 해킹 결제는 어떻게 이뤄졌나 조사단에 따르면 불법 펨토셀에 따른 침해사고로 2만2천227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호가 유출됐다. 또 가입자 368명의 무단 소액결제 2억4천300만원 피해가 확인됐다. 다만 이는 KT가 산출한 피해 규모로, 데이터가 남아있지 않은 지난해 7월 이전에 대한 확인은 조사로 밝히지 못했다. 조사단은 경찰이 피의자에게 확보한 불법 펨토셀을 포렌식 분석한 결과 ▲KT망 접속에 필요한 KT 인증서 ▲인증서버 IP 정보 ▲해당 셀을 거쳐가는 트래픽을 캡쳐해 제3의 장소로 전송하는 기능 등을 확인했다. 공격자는 불법 펨토셀에 KT 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했고, 펨토셀이 강한 전파를 방출하도록 하여 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 하고 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했다. 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정하고 피해자의 개인정보로 상품권 구매 사이트를 접속해 상품권 구매 시도와 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 판단된다. 서버 94대, 악성코드 103종 감염 조사단은 KT 전체 서버 점검과 감염 서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염됐음을 확인했다. KT가 지난해 감염 서버를 발견하고 정부에 신고하지 않은 체 자체 조치한 악성코드 감염서버는 총 41대로 BPFDoor 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종을 확인했다. 조사단은 SK텔레콤 침해사고 당시 KT의 KT의 BPFDoor 감염 여부를 점검했으나 이미 삭제 조취로 악성코드가 당시 발견되지 않았다. 아울러 KT가 자체적으로 실시한 외부업체 보안점검에서 침해 흔적이 발견됐다고 확인된 서버와 이와 연계된 서버에 대한 조사단의 포렌식 과정에서 53대 서버 감염, 루트킷 39종, 백도어 36종, 디도스 공격형 2종 등 77종의 악성코드를 확인했다. 조사단은 감염서버에 개인정보가 저장된 점에 따라 정밀 분석을 실시했으나 로그 기록이 남아있는 기간에는 유출 정황이 없는 것으로 확인했다. 다만, 시스템 로그 보관 기간이 1~2개월에 불과한 점은 한계로 꼽힌다. 웹셸과 BPFDoor 악성코드는 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 서버에 웹셸을 업로드하고 BPFDoor 등의 악성코드를 확산시킨 것으로 추정된다. 루트킷, 백도어 등의 악성코드에 대해서는 감염 시점 당시 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단하는 것이 불가능했다. 정부, 재발방지 대책 지시 조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실하해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경을 확인했다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 정상 펨토셀이 아니더라도 내부망의 인증 서버로부터 KT 인증서를 받아 KT망에 접속이 가능했다. 또 KT 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속이 가능했다. 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함을 확인했다. 조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 전면 제한했고 ▲펨토셀이 발급받은 통신사 인증서 유효기간을 10년에서 1개월로 단축 ▲펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 ▲펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 ▲펨토셀 제품별 별도 인증서 발급 등을 조치토록 했다. KT는 국제표준화기구(3GPP), 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 펨토셀 간(무선망), 펨토셀과 통신사 국사 간(인터넷망)의 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있으나 불법 펨토셀에 의해 암호화가 해제되어 결제 인증정보(ARS, SMS)가 전송됐다. 이에 따라 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화하도록 했다. 조사단은 이번 침해사고 조사 과정에서 KT가 보안점검 미흡, 보안장비 미비, 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점과 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이루어지지 않는 사실을 확인했다. 정부는 이에 ▲EDR, 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기점검 ▲펨토셀 인증 및 제품등록을 관리하는 시스템에 방화벽 등 보안장비를 도입 ▲운영 시스템에 대한 로그기록을 최소 1년 이상 보관 ▲정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편 ▲전사 자산을 담당하는 정보기술 최고책임자(CIO)를 지정 등을 지시했다. 지연신고 과태료, 조사 방해는 경찰 수사 의뢰 정보통신망법에 따라 침해사고가 발생하면 이를 인지한 후 24시간 이내 신고해야 하나 KT는 발생 사고에 대해 지연신고를 하거나, 신고 자체를 하지 않았다. 정부는 이 점에 대해 정보통신망법에 따라 과태료를 부과할 예정이다. 또 KT는 8월1일에 서버를 폐기했다고 답변했으나 조사단에 폐기 시점을 허위로 제출하고, 폐기 서버 백업 로그가 있었지만 9월18일까지 조사단에 이를 보고하지 않았다. 정부 조사를 방해하기 위한 고의성이 있다고 판단되는 부분으로 수사기관에 수사를 의뢰했다. 과기정통부는 조사단의 조사 결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 제출토록 하고, KT의 이행 여부를 내년 6월까지 점검할 계획이다. 이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다. 또한 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획이다.
