[더테크 서명수 기자] 정부 민관합동조사단이 KT 침해사고의 중간 조사 결과를 발표하며, 불법 소형기지국을 통한 소액결제 피해와 내부 서버 침해, 인증서 유출 등 다수의 보안 관리 부실 사례를 공개했다.

KT 침해사고 민관합동조사단은 6일 중간조사 결과를 발표하고, KT가 불법 기기를 통한 무단 소액결제 및 개인정보 유출, 국가배후 조직의 인증서 유출 정황, 그리고 외부 보안점검 과정에서 발견된 서버 침해사고 등 총 3건의 사고를 조사한 결과를 공개했다.

조사단에 따르면 KT는 지난 9월 8일 소액결제 피해자의 통화 이력을 분석하던 중, KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 확인하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 이후 과학기술정보통신부는 사고의 중대성을 고려해 9월 9일부터 조사단을 구성해 운영 중이다.

조사 결과, KT의 펨토셀 관리 체계가 부실해 불법 소형기지국이 쉽게 내부망에 접속할 수 있었던 것으로 드러났다. KT가 납품받은 모든 소형기지국이 동일한 인증서를 사용하고, 인증서 유효기간을 10년으로 설정해 한 번 접속한 기기가 지속적으로 내부망에 접근할 수 있는 구조였다. 또한 제조사가 주요 인증정보를 외주업체에 별도 보안조치 없이 제공해, 기지국 저장장치에서 셀ID와 인증서를 쉽게 추출할 수 있었던 점도 확인됐다.

조사단은 KT의 내부 보안 설정 역시 미흡했다고 지적했다. 내부망 인증 과정에서 비정상 IP 통신을 차단하지 않았고, 기지국의 고유번호와 설치 지역정보가 등록 정보와 일치하는지 검증하는 절차도 없었다. 이에 따라 정부는 통신 3사에 신규 소형기지국 접속을 전면 제한하고, KT에 인증서 유효기간 단축, 외부 IP 차단, 형상정보 인증 절차 강화 등 보안조치를 즉각 시행하도록 했다.

불법 기기를 장악한 공격자는 암호화가 해제된 통신 구간을 통해 소액결제 인증정보(ARS·SMS)를 평문으로 탈취할 수 있었던 것으로 확인됐다. 조사단은 이러한 기법이 문자와 음성통화 정보까지 탈취할 수 있는지 추가 실험을 통해 검증 중이다.

또한 조사단은 KT가 올해 3월부터 7월 사이 BPFDoor, 웹셸 등 악성코드에 감염된 43대 서버를 발견하고도 정부에 신고하지 않은 사실을 확인했다. 일부 감염 서버에는 이름, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었으며, 이는 정보통신망법상 과태료 부과 대상에 해당한다.

KT는 무단 소액결제 피해 사실을 9월 1일 경찰로부터 전달받고도, 9월 5일 차단 조치를 완료한 후 9월 8일(19시 16분)에야 침해사고를 신고하는 등 지연 신고를 한 사실도 드러났다. 또한 9월 15일 외부 보안점검에서 내부 서버 침해 흔적을 확인했음에도, 9월 18일에야 당국에 신고해 또 한 차례 신고 지연이 발생했다.

조사단은 국가배후 조직이 개입된 것으로 의심되는 KT 인증서 유출 사건에서도 KT가 서버 폐기 일자를 허위로 제출하고 백업 로그를 뒤늦게 보고한 사실을 확인했다. 이에 정부는 KT의 허위 보고가 고의적인 공무집행 방해에 해당한다고 보고 형법 제137조에 따라 수사기관에 수사 의뢰했다.

현재 조사단은 경찰과 협력해 불법 소형기지국을 이용한 피의자들로부터 압수한 장비를 분석 중이며, 개인정보보호위원회와 함께 피해자의 개인정보 탈취 경로를 조사하고 있다.

과학기술정보통신부는 “KT 침해사고에 대한 최종 조사 결과를 국민에게 투명하게 공개하고, KT의 관리상 과실과 법 위반 여부를 토대로 위약금 면제 사유 적용 가능성 등 법적 검토를 진행할 것”이라고 밝혔다.