[디지털투데이 이진호 기자] 무단 소액결제 사고를 겪은 KT가 지난해 악성코드 감염서버 43대를 발견하고도 정부에 신고하지 않은 것으로 드러났다. 불법 소형 기지국(펨토셀)이 사고 원인으로 지목된 가운데 전반적인 관리가 소홀했던 것으로 확인됐다.

KT 침해사고 민관합동조사단은 이 같은 내용의 KT 침해사고 중간 조사결과를 6일 발표했다.

조사단은 ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 ▲국가배후 조직에 의한 KT 인증서 유출 정황 ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건을 조사해 원인을 분석했다. 

KT는 지난해 3월부터 7월까지 BPFDoor, 웹셸 등 악성코드 감염서버 43대를 발견해 정부에 신고 없이 자체적으로 조치하고 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등이 저장돼 있음을 조사단에 보고했다.  

조사단은 서버 포렌식 분석 등을 통해 이같은 침해사고 발생 사실을 확인했다. 단 KT서버에서 BPF도어 등 악성코드 자체가 발견된 것은 아니다. 조사단에 따르면 BPF도어는 지워져 있었지만 BPF도어 검출 스크립트 등 일종의 백신 가동 흔적을 조사단이 발견했다. 

최우혁 과기정통부 네트워크정책실장은 이날 브리핑에서 "확인된 서버 43대 등에 대한 조사를 진행하고 다 분석이 이뤄진 뒤 최종 결과를 보고드릴 것"이라고 말했다.

KT의 펨토셀 관리 체계 부실도 드러났다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했다. 인증서 유효기간도 10년이라 한 번이라도 KT망에 접속했던 펨토셀은 지속적으로 접속할 수 있었다.

펨토셀 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했다. 이에 따라 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출하는 것이 가능했다. 

KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았다.  펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부도 검증하지 않았다. 

조사단은 또 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS) 평문 취득이 가능했던 것으로 판단했다.

소액결제가 이뤄지려면 ARS, 문자, 패스 등으로 확인을 거쳐야 한다. 특히 ARS와 문자는 이름, 생년월일 등 개인정보 입력이 필요하지만 이러한 절차 없이도 인증이 통과돼 결제가 가능했던 것이다.

국내 이동통신 3사는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준 권고에 따라 종단 암호화는 물론 단말기와 기지국 간 구간 암호화를 원칙으로 하고 있다. 

조사단은 "불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문, 추가 실험 등을 통해 조사할 계획"이라고 밝혔다.

KT는 위협 신고도 늦었다. KT는 지난 9월 1일 경찰로부터 특정 지역 무단 소액결제 발생을 전달받고 같은 달 5일 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 차단 조치했다. 하지만 불법 펨토셀 ID의 존재를 확인한 후인 8일 오후 7시 16분에야 뒤늦게 신고했다

사단은 경찰과 협력해 무단 소액결제 피의자로부터 압수한 불법장비를 분석하고 있다. 또한 개인정보보호위원회와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사할 계획이다. 

현재 KT는 전 고객 유심 교체를 시행하고 있다. 전 고객 위약금 면제는 조사가 모두 완료된 뒤에 결정될 전망이다. 과기정통부는 "지금까지 확인된 사실관계, 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT 이용약관상 위약금 면제에 해당하는지 여부를 발표할 계획"이라고 밝혔다.

한편 KT는 통신기록이 남아있는 기간인 지난해 8월 1일부터 올해 9월 10일까지 모든 기지국 접속 이력 약 4조300억건 및 모든 KT 가입자 결제 약 1억5000만건 등 확보 가능한 모든 데이터를 분석했다.

그 결과 불법 펨토셀 ID 20개가 발견됐고 여기에 2만2227명이 접속해 가입자 식별번호(IMSI), IMEI 및 전화번호 유출 정황이 발견됐다고 발표했다. 무단 소액결제 피해자 수는 368명, 금전적 손실 규모는 2억4319만원이다. 다만 통신기록이 없는 피해에 대해서는 파악하지 못한 상황이다.