과학기술정보통신부 민관합동조사단(조사단)은 6일 오후 정부서울청사에서 KT 침해 사고 중간 조사 결과를 발표했다. 지난 9월9일부터 가동된 조사단은 ▲불법 초소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출사고 ▲국가배후 조직에 의한 KT 인증서 유출 정황(프랙보고서) ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건을 조사해 사고 원인을 분석했다.
조사단은 서버 포렌식 분석에서 KT가 악성코드 침해를 발견하고도 자체 처리한 사실을 확인했다. KT는 지난해 3월~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견했지만 정부에 신고하지 않고 조치했다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장돼 있었다.
악성코드를 발견했지만 이를 신고하지 않으면 정보통신망법에 따라 3000만원 이하 과태료가 부과될 수 있다. 조사단은 이번 사안을 엄중히 보고 있다며 사실관계를 밝혀 관계기관에 합당한 조치를 요청할 예정이다.
무단 소액결제 피해도 확대될 것으로 보인다. 조사단은 현재까지 파악된 총 368명, 2억4319만원의 피해 사례말고도 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.
조사단은 KT의 펨토셀 관리 체계가 부실해 불법 펨토셀이 내부망에 쉽게 접속할 수 있었다는 사실도 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. KT 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 펨토셀은 지속해서 접속할 수 있는 문제점을 발견했다.
펨토셀 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능했다. KT는 펨토셀 접속 인증 과정에서 비정상 IP 차단 및 검증 절차가 부실했다.
소액결제 인증정보가 펨토셀을 통해 탈취됐을 가능성도 확인됐다. 조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고 이후 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 봤다. 조사단은 불법 펨토셀을 통해 문자, 음성 통화 탈취가 가능한지 여부도 전문가 자문 및 추가 실험을 통해 조사할 방침이다.
조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중이다. 개인정보보호위원회와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사할 계획이다.
과학기술정보통신부는 KT 침해사고를 엄정하게 조사해 최종 결과를 국민에게 투명하게 공개하고 KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률검토 후 위약금 면제 여부를 발표할 계획이다.
<저작권자 © ‘재테크 경제주간지’ 머니S, 무단전재 및 재배포 금지>