| 스마트에프엔 = 양대규 기자 | KT가 지난해 은닉성이 높은 악성코드 ‘BPF도어(BPFDoor)’에 서버가 다수 감염된 사실을 자체적으로 파악하고도 이를 당국에 보고하지 않은 것으로 드러났다. 이 악성코드는 올해 초 SK텔레콤 해킹 사태에서도 심각한 피해를 유발한 것으로 알려졌다. 이에 KT의 은폐 정황이 확인되자 정부는 엄중 대응 방침을 밝혔다.
KT 해킹 사건을 조사 중인 민관 합동 조사단은 6일 정부서울청사에서 중간조사 결과를 발표하며 KT가 지난해 3월부터 7월 사이 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 신고하지 않았다고 밝혔다.
조사단은 KT가 발견 즉시 당국에 알리지 않고 자체 조치에 그친 정황을 "엄중히 보고 있다”며 “사실관계를 면밀히 규명하고 관계기관에 합당한 조치를 요청할 계획”이라고 덧붙였다.
KT는 조사단에 감염된 서버에 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다고 보고한 것으로 전해졌다.
과학기술정보통신부는 KT의 무단 소액결제 사고 원인 중 하나로 지목된 펨토셀(초소형 기지국) 관리 부실과 이번 해킹 은폐 의혹에 대한 법률 검토를 진행 중이다. 이를 바탕으로 이용자 위약금 면제 등 후속 조치를 검토해 발표할 예정이다.
조사단은 펨토셀 운영 과정에서도 다수의 보안 취약점을 확인했다. KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었다. 이 인증서를 복제하면 불법 펨토셀도 KT 망에 접속이 가능했다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 접속 이력이 있으면 장기간 접속이 유지되는 구조였다.
펨토셀 제작 외주사에 셀 ID, 인증서, KT 서버 IP 등 주요 정보를 별도의 보안 관리 없이 제공한 점도 드러났다. 펨토셀 저장 장치 내에서 해당 정보를 손쉽게 추출할 수 있는 문제도 있었다.
KT는 내부망에서 펨토셀이 접속할 때 비정상 IP(타사·해외 IP 등)에 대한 차단이 이뤄지지 않았고, 접속 기기의 등록 여부 검증도 제대로 수행하지 않았다.
조사 결과 단말기와 기지국, 코어망 간 통신이 종단 간 암호화로 보호돼 있었지만, 불법 펨토셀을 장악한 해커가 이 암호화를 해제할 수 있었던 것으로 확인됐다. 암호화가 해제된 상태에서는 불법 펨토셀이 ARS나 문자(SMS) 등 결제 인증 정보를 평문으로 획득할 수 있었다.
조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자와 음성통화 내용 탈취가 가능한지 여부도 전문가 자문과 추가 실험을 통해 조사할 계획이라고 설명했다.
정부는 이번 사안에 대해 정보통신망법 위반 여부를 포함해 법적 책임을 엄중히 따질 방침이다.