정부 "KT, 작년 43개 서버 악성코드 발견하고 숨겼다"
KT가 지난해 3월부터 4개월 동안 BPFDoor, 웹셸 등 악성코드에 감염된 43대 서버를 발견하고도 정부에 신고하지 않고 자체적으로 조치한 것으로 드러났다. 과학기술정보통신부가 꾸린 KT 침해사고 민관합동조사단은 일부 감염서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등이 저장된 점을 심각한 문제로 판단하고 관계기관에 합당한 조치를 요청키로 했다. 최우혁 과기정통부 네트워크정책실장은 6일 KT 침해사고에 대한 중간 조사 결과 브리핑을 열어 이같이 밝혔다. 조사단은 ▲불법 펨토셀에 의한 소액결제와 개인정보 유출사고 ▲프랙보고서에 따른 KT 인증서 유출 정황 ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등을 조사해 사고원인을 분석했다. KT, 2024년 3~7월 악성코드 감염 자체 확인 조사단은 서버 포렌식 분석 등을 통해 과거 KT에서 악성코드 침해사고가 발생했고, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. KT는 지난해 3월부터 넉달 동안 BPFDoor, 웹셸 등 악성코드 감염서버 43대를 발견해 정부에 신고 없이 자체적으로 조치하고 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장되어 있음을 조사단에 보고했다. 조사단은 이 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획이다. 악성코드를 발견하고 신고하지 않은 행위는 정보통신망법에 따라 3천만원 이하 과태료 부과 대상이다. 침해사고 신고 지연 사실 확인 KT는 지난 9월1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 9월5일 새벽 3시에 차단 조치했다. 이후 불법 펨토셀 ID의 존재를 확인한 뒤 9월8일 오후 7시 16분에 침해사고를 지연 신고했다. 아울러 지난 8월 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관해 KT는 8월1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나 실제 8월1일 2대, 8월6일 4대, 8월13일 2대에 걸쳐 폐기하는 등 폐기 시점을 당국에 허위 제출했다. 특히 KT는 폐기 서버 백업 로그가 있지만 9월18일까지 조사단에 이를 보고하지 않았다. 이에 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법에 따라 10월2일 수사기관에 수사 의뢰했다. 이와 함께 KT는 외부 업체를 통한 보안점검 결과를 통해 지난 9월15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나 9월18일 오후 11시 57분에애 침해사고를 늦게 신고했다. 불법 펨토셀 피해 확대 가능성 조사단은 침해사고로 인한 피해자를 빠짐없이 파악하기 위해 KT에 피해 조사 대상 확대와 분석방식을 개선할 것을 지속적으로 요구했다. KT는 이에 따라 지난해 8월부터 기지국 접속 이력 약 4조300억건과 모든 KT 가입자의 결제 약 1억5천만건 등 확보 가능한 모든 데이터를 분석해 불법 펨토셀 20개에 접속한 2만2천227명의 가입자 정보 유출 정황을 확인했다고 밝혔다. KT가 밝힌 소액결제 피해 현황은 368명이 총 2억4천319만원에 이르는데 통신기록이 없는 지난해 8월1일 이전에 소액결제 피해도 일부 확인됐다. 조사단은 향후 KT의 피해자 분석 방식 검증과 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다. “KT 펨토셀 관리 체계 부실” 조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이라는 점을 확인했다. 먼저 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능함을 확인했다. 또한 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점을 발견했다. 아울러 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하고 추출하는 것이 가능한 점을 확인했다. KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다. 펨토셀 불법 장악으로 암호화 해제 KT는 국제표준화기구(3GPP), 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다. 조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다. 과기정통부 “위약금 면제 사유 살피겠다” 조사단은 중간 조사결과에서는 KT의 일반적인 망 관리 실태 조사, 테스트 환경에서의 검증을 통해 펨토셀 운영 및 내부망 접속 과정 상의 보안 문제점을 도출했다. 이에 따라 최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안위협 요인을 파악하고 재발방지 대책을 마련하여 발표할 계획이다. 아울러 조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중이다. 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보하였는지 조사해 나갈 계획이다. 특히 과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하고 KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
