[한국정경신문=변동휘 기자] 과학기술정보통신부 민관합동조사단이 KT의 사이버 침해사고와 관련 회사 측의 과실을 확인했다. 이에 따라 위약금 면제 등을 검토할 방침이다.
조사단은 6일 KT 침해사고에 대한 중간 조사결과를 발표했다.
최우혁 과학기술정보통신부 네트워크정책실장이 KT 침해사고에 대한 중간 조사결과를 발표하고 있다. (사진=연합뉴스)
조사단은 ▲불법 소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출사고 ▲국가배후 조직에 의한 인증서 유출 정황(프랙 보고서) ▲외부업체 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 진행했다.
먼저 조사단은 무단 소액결제 및 개인정보 유출사고와 관련해 팸토셀 운영 및 내부망 접속 과정상의 보안 문제점을 도출했다. 최종적으로는 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안 위협 요인을 파악할 계획이다.
피해 규모는 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐다. 소액결제 사고 규모는 피해자 368명에 액수는 2억4319만원이다.
다만 지난해 8월 1일 이전의 피해에 대해서는 기록이 없어 파악이 불가능했다는 설명이다. 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다. 향후 조사단은 KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 기지국이 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. 먼저 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었다. 인증서 유효기간도 10년으로 설정돼 한 번이라도 접속한 이력이 있다면 지속적으로 접속이 가능했다.
장비 제조사가 셀 ID와 인증서, 서버 IP 등 중요정보를 보안관리 체계 없이 제작 외주사에 제공했고 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함도 확인했다. 비정상 IP 차단과 형상정보 검증 또한 이뤄지지 않았다.
무단 소액결제와 관련해서는 불법 펨토셀을 장악한 범인이 종단 암호화를 해제해 인증정보를 평문으로 취득할 수 있었던 것으로 판단했다. 결제 인증정보 뿐만 아니라 문자나 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
또한 조사단은 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했지만 이를 신고하지 않고 자체 처리한 사실을 확인했다. 지난해 3월부터 7월까지 악성코드 감염서버 43대를 발견했지만 정부 신고 없이 자체 조치했다는 것이다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다.
또한 지난 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고 내부망에 이상 패턴을 발견해 5일 차단 조치했음에도 8일에서야 지연 신고했다.
프랙 보고서 인증서 유출 정황과 관련해서는 서버 폐기 시점을 당국에 허위 제출한 것으로 확인했다. 또한 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다. 이에 대해서는 경찰에 수사의뢰가 이뤄진 상태다.
지난 15일 외부업체 보안점검을 통해 내부 서버에 대한 침해 흔적이 있는 것을 확인했지만 18일에서야 지연신고한 점도 이번 중간발표에 포함했다. 조사단은 향후 침해 관련 서버에 대한 포렌식 분석을 통해 사고 원인 및 KT의 보안 취약점을 도출할 계획이다.
과기정통부는 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관 상 위약금 면제 사유 해당 여부를 발표할 계획이다.
KT 측은 민관합동조사단의 중간 조사 결과를 엄중히 받아들인다는 입장이다. 회사는 이날 “악성코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다”며 “합동조사단 및 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다할 방침”이라고 전했다.