KT, 서버 43대 악성코드 감염 은폐…인증서 복제로 KT망 접속 가능

▲최우혁 과학기술정보통신부 네트워크정책실장이 6일 오후 서울 종로구 정부서울청사에서 KT 침해사고 중간결과 발표를 하고 있다. (뉴시스)

KT가 펨토셀 관련 서버에서 악성코드를 발견하고도 은폐한 사실이 뒤늦게 드러났다. 민관합동조사단은 KT 침해사고 조사 과정에서 지난해 악성코드 침해사고 발생 사실을 비롯해 펨토셀 관리 및 내부망 접속 인증 과정의 취약점을 발견했다고 6일 밝혔다.

이날 최우혁 과학기술정보통신부 네트워크정책실장은 정부서울청사에서 열린 ‘KT 침해사고 중간결과 발표’ 브리핑에서 “서버 포렌식 분석 등을 통해 과거 KT에 BPF도어 등 악성코드 침해사고가 발생했으며 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다”고 말했다. 이는 정보통신망법상 3000만원 이하의 과태료 부과 대상이다.

KT는 지난해 3월에서 7월 사이에 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했지만 정부에 신고 없이 자체적으로 조치했다고 조사단에 보고했다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장되어 있었다.

이 같은 사실은 BPF도어를 검출하는 백신을 돌린 흔적을 조사단이 발견한 뒤 관련 자료를 요구하면서 새롭게 확인됐다. KT가 자발적으로 알린 게 아닌 조사단이 찾아낸 만큼 명백한 은폐 행위라는 지적도 나온다. 최 실장은 “악성코드 감염 서버는 펨토셀 관련한 서버”라며 “BPF도어는 이미 다 지워진 상태였다”고 설명했다.

조사단은 무단 소액결제 사고 관련해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 특히 인증서의 유효기간이 10년이라 KT망 접속 이력이 한 번이라도 있다면 지속적으로 KT망에 접속할 수 있다는 문제점이 발견됐다.

또한 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했으며 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출하는 것이 가능했다. KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지도 검증하지 않았다.

조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 불법 펨토셀이 ARS, SMS 등의 인증 정보를 평문으로 취득할 수 있었던 것으로 판단했다. 종단 암호화가 해제됐을 때 NW 구간에서 평문으로 데이터가 전송되는 사실을 확인했기 때문이다.

조사단은 5일 KT에 펨토셀 제품별 별도 인증서 발급을 조치하도록 요구했으며 앞서 △펨토셀이 발급받은 통신사 인증서 유효기간을 10년에서 1개월로 단축 △펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 △펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 등을 취하도록 했다. 조사단은 불법 펨토셀을 통해 결제 인증 정보뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해 전문가 자문 및 추가 실험 등을 통해 조사할 계획이다.

최 실장은 “과기정통부는 KT의 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민들에게 투명하게 공개하겠다”며 “KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표하겠다”고 말했다.