KT 침해사고 민관합동조사단 중간 조사 결과 발표
불법 펨토셀 가능성 우선 조사…"모든 시나리오 열어둬"
43대 감염 서버 확인…개인정보 유출 여부 정밀 검증 중
[아이뉴스24 서효빈 기자] KT가 지난해 서버 43대가 악성코드에 감염됐다는 사실을 은폐했다는 정황이 드러났다. 정부는 감염 서버에서 확인된 정보와 최근 소액결제 피해 간 연계 가능성에 대해 정밀 조사를 진행할 계획이다.
![최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. [사진=연합뉴스]](https://image.inews24.com/v1/b23ced80fdcb09.jpg)
최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. [사진=연합뉴스]과학기술정보통신부 민관합동조사단은 6일 중간 결과를 내고 이 같은 내용을 공개했다.
KT는 9월 소액결제 피해자의 통화 이력을 재점검하는 과정에서 등록되지 않은 불법 기기가 내부망에 붙은 사실을 확인해 KISA에 침해사고를 신고했다.
조사단은 9월 9일부터 불법 펨토셀로 인한 소액결제·개인정보 유출 △국가 배후 조직의 KT 인증서 유출 정황(프랙 보고서) △외부 보안 점검 중 드러난 서버 침해사고 등을 들여다봤다.
그 결과 KT가 지난해 3~7월에 BPF 도어 등 악성 코드 감염 서버 43대를 발견하고도 신고 없이 자체 조치한 사실이 드러났다. BPF도어는 올해 초 불거진 SK텔레콤 해킹 사례에서도 큰 피해를 준 악성 코드다. KT는 이후 일부 감염 서버에 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등이 저장돼 있었다고 조사단에 보고했다.
조사단은 서버 포렌식에서 백신·검출 스크립트 실행 흔적을 확인해 침해 사실을 특정했다고 설명했다. 다만 SK텔레콤 사건과 같은 핵심 가입자 정보 저장 시스템(HSS) 침탈 여부, 개인정보 유출 규모, 가해자의 SK텔레콤 사건 연계성 등은 아직 결론을 내리지 않았다.
또한 조사단은 무단 소액결제 사고 관련해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다.
다음은 과학기술정보통신부의 최우혁 네트워크정책실장, KISA 이동근 본부장(민간합동조사단 부단장)과의 일문일답.
-악성코드를 자체 처리했다는 게 구체적으로 어떤 행위인가.
(최우혁 실장) KT가 악성코드를 스캔하는 스크립트를 실행했던 흔적을 포렌식을 통해 확인했다. 펨토셀 관련 서버에서 발견됐다. 발견된 흔적에 관해 추궁하니 KT로부터 관련 자료가 제출되기 시작했다. 조사 당시에는 BPF도어가 이미 삭제된 상태였다."
-감염 서버에 성명·전화번호 등 정보가 있었다는데 무단결제에 필요한 정보 유출 가능성은.
(최우혁 실장) 확인한 지 얼마 안 돼 자료를 받아 분석해야 한다. 소액결제 정보와의 연계성도 정밀 조사가 필요하다.
-BPF 흔적 43대는 KT가 제출한 숫자인가. 추가 확대 가능성은.
(최우혁 실장) 모든 가능성은 열려 있다. 포렌식 진행 과정에서 연계 서버가 더 확인될 수 있다.
-LG유플러스 APPM(계정 권한 시스템) 해킹 건 조사 상황은.
(최우혁 실장) LG유플러스 APPM 관련도 정밀히 보고 있으며 서버·로그 등을 조사 중이다. 진전이 있으면 동일한 방식으로 발표하겠다.
-SK텔레콤과 같은 DPF/BPF 계열 해킹으로 핵심(HSS 등) 대규모 유출 가능성은.
(최우혁 실장) 가능성만으로 혼란을 일으키지 않겠다. 현재 'KT가 보고'한 형태의 수치를 저희가 철저히 검증해야 한다. 서버 종류·내용을 라인 바이 라인 포렌식 후 말씀드리겠다.
-오늘 발표 내용을 보면 이번 소액 결제의 범죄의 원인을 이제 펨토셀 해킹으로 보는 것 같다. 여전히 제3의 가능성을 열어두고 있는지. .
(최우혁 실장) 소액결제 범죄 원인은 현재 펨토셀을 메인으로 보지만 조사는 모든 가능성을 열어두고 있다.
기지국 접속 이력이 없는 소액 피해자도 일부 있다고. 접속 없이 어떻게 가능했나.
△(이동근 KISA 본부장) 기지국 접속 기록이 없을 뿐, 실제 기지국에 붙었으므로 결제된 건 맞다. 접속 기록이 남지 않은 이유는 기술적 한계 때문이다. 저장하고 보관하는 과정에서 로스가 발생했다. 이를 고려해 최대한의 피해 범위 산정을 KT 측에 요청했다. 정확한 피해 숫자는 아직 검증되지 않아 공개하기 어렵다.
-불법 펨토셀로 패킷 감청이 가능했다면 데이터 통신 전반 유출 우려가 있다. 입장은.
(최우혁 실장) 조사가 더 필요한 영역이다. 전문가 자문과 테스트베드 검증을 진행 중이며 정리되면 이야기.
-종단간 암호화가 어떻게 평문화됐나. 타 통신사도 같은 취약이 가능한가.
(최우혁 실장)특정 상황을 만들면 E2E 암호가 해제될 수 있음을 분석·실험으로 확인했다. 장비 분석이 진행 중이라 가능한 시나리오를 우선 설명한 것.
최종 조사 결과가 나오는 시점은?
(최우혁 실장) 최종 결과 시점은 예단하기 어렵다. 불법 펨토셀 개입이라는 이례적 케이스이고, 최근 BPF 흔적 서버가 추가 확인돼 포렌식에 시간이 많이 든다.
-SK텔레콤 당시 데일리 브리핑과 같은 유심 수급·조치 현황 공개는.
(최우혁 실장) 당시엔 유심 부족과 FDS 불안정성으로 '유심 대란'이 있어 매일 관리가 필요했다. 지금은 KT가 유심 재고 약 200만으로 상황이 다르다. 다만 국민 불편이 있으면 검토할 예정.
-위약금 면제에 대해서 지금 시점에서 어떻게 보고 있고, 로펌에 언제쯤 의뢰를 할 것인지
(최우혁 실장) 조사를 어느 정도 더 확인한 후, SK텔레콤 때처럼 법률 자문을 받아 최종적으로 결정 내릴 수 있을듯 하다.
/서효빈 기자(x40805@inews24.com)포토뉴스
English (US) · 