KT, 지난해 서버 해킹 알고도 은폐…정부 “엄중 조치”

정부 민관합동조사단 중간 결과 발표
조사단 “지난해 서버 43대 감염, 당국 신고 안 해”
펨토셀 관리도 ‘총체적 부실’… 소액결제 넘어 통화 도청 가능성 조사

<출처=연합뉴스>

KT가 지난해 은닉형 악성코드인 ‘BPF도어(BPFDoor)’에 다수의 서버가 감염된 사실을 자체적으로 파악하고도 당국에 신고하지 않고 은폐했던 것으로 드러났다.

또한 최근 발생한 무단 소액결제 사태의 원인이 된 초소형 기지국(펨토셀) 관리에서도 보안 체계가 총체적으로 부실했던 사실이 정부 조사 결과 확인됐다.

과학기술정보통신부와 민관 합동 조사단은 6일 정부서울청사에서 이 같은 내용을 담은 ‘KT 해킹 사고 중간 조사 결과’를 발표했다.

조사단에 따르면 KT는 지난해 3월부터 7월 사이 BPF도어와 웹셸 등 악성코드에 서버 43대가 감염된 사실을 인지했으나, 이를 관계 당국에 알리지 않고 자체적으로 조치했다. BPF도어는 올해 초 SKT 해킹 사고에서도 큰 피해를 입힌 고위험 악성코드다. SKT 사태 이후 당국이 실시한 업계 전수조사 과정에서도 KT의 과거 감염 사실은 발견되지 않아, KT가 의도적으로 이를 숨겼다는 비판을 피하기 어렵게 됐다.

감염된 서버에는 가입자의 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 민감한 개인정보가 저장돼 있었던 것으로 파악됐다.

무단 소액결제 피해의 통로가 된 펨토셀 운용상의 심각한 보안 허점도 함께 드러났다. 조사 결과, KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 유효기간도 10년으로 설정돼 있었다. 이는 인증서가 유출될 경우 불법 복제된 펨토셀이 아무런 제약 없이 KT 내부망에 지속적으로 접속할 수 있다는 것을 의미한다.

KT는 펨토셀 제작 외주사에 셀 ID, KT 서버 IP 등 중요 정보를 아무런 보안 관리 체계 없이 제공했으며, 내부망 접속 과정에서 타사나 해외 IP 등 비정상적인 접속을 차단하거나 검증하는 절차도 없었던 것으로 확인됐다.

특히 KT가 적용한 단말과 기지국 간 종단 암호화 기술조차 불법 펨토셀을 장악한 해커에 의해 무력화될 수 있었던 것으로 밝혀졌다. 암호화가 해제되면서 해커는 ARS나 SMS 인증 정보를 평문으로 탈취해 소액결제에 악용할 수 있었다.

조사단은 KT의 해킹 은폐 정황에 대해 “엄중히 보고 있다”며 “사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 계획”이라고 강조했다. 아울러 불법 펨토셀을 통한 문자 메시지 및 음성 통화 탈취 가능성에 대해서도 추가 실험을 통해 조사를 이어갈 방침이다.

한편, 과기정통부는 이번 조사 결과를 토대로 법률 검토를 거쳐 KT의 위약금 면제 사유 해당 여부를 조만간 발표할 계획이다.

[CEO스코어데일리 / 김동일 기자 / same91@ceoscore.co.kr]

심층분석

CEO's PICK