[이슈+]KT, 작년 '악성코드 감염' 알고도 '미신고'…관리 부실 드러나

KT가 지난 2024년 악성코드에 감염된 서버를 알고도 신고하지 않고 자체 처리한 것으로 확인됐다. 6일 KT 침해사고 민관합동조사단은 이같은 내용을 담은 중간 조사결과를 발표했다.

조사단에 따르면 2024년 3~7월 KT는 BPFDoor, 웹셸 등 악성코드 감염 서버 43대를 발견했음에도 정부에 신고 없이 자체적으로 조치했고 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장돼 있음을 확인했다. 조사단은 사실관계를 명확하게 밝히고 관계기관에 합당한 조치를 요청할 계획이다.

지난 9월 8일 KT는 소액결제 피해자 통화이력 분석 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 과학기술정보통신부(과기정통부)는 사고 중대성을 고려해 조사단을 구성해 운영 중이다.

조사단은 중간 조사결과에서 KT의 망 관리 실태 조사·테스트 환경 검증을 통해 펨토셀 운영과 내부망 접속 과정상의 보안 문제점이 있음을 확인했다.

KT는 2024년 8월 1일부터 2025년 9월 10일까지 모든 기지국 접속 이력 약 4조300억건, 모든 KT 가입자 결제 약 1억5000만건 등 확보 가능 데이터를 분석한 결과, 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI)·전화번호 유출 정황은 물론 368명이 2억4319만원의 소액결제 피해를 입었음을 확인했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 지적했다. 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다는 것. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하면 불법 펨토셀도 KT 망 접속이 가능했다. 인증서 유효기간도 10년으로 설정돼 한 번이라도 접속 이력이 있으면 지속적으로 KT 망에 접속할 수 있었다. 

펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했음은 물론 펨토셀 저장 장치에서 해당 정보를 쉽게 추출하는 것이 가능하다는 사실도 확인했다. 심지어 KT는 내부망에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT 망에 등록된 정보인지 여부에 대한 검증하지 않은 것으로 나타났다.

조사단은 전문가 의견 청취와 KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS·SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 

조사단에 따르면 KT는 무단 소액결제·침해사고도 지연신고했다. 지난 9월 1일에 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고 내부망에 무단 소액결제 관련 이상을 발견해 차단 조치(9월 5일 오전 3시)했음에도 불법 펨토셀 ID를 확인한 이후인 8일 오후 7시 16분에 침해사고를 신고했다.

지난 8월 8일 발표된 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해서도 폐기시점을 당국에 허위 제출한 것으로 확인됐다. 아울러 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 이를 조사단에 보고하지 않았다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법 제137조 위계에 의한 공무집행방해에 따라 10월 2일 수사기관에 수사를 의뢰한 상태다. 

과기정통부는 KT의 펨토셀 관리상 문제점 등 확인된 사실과 추후 밝혀질 조사결과를 바탕으로 법률적 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 판단해 발표할 계획이다.

김근정 기자 / 경제를 읽는 맑은 창 - 비즈니스플러스