3 days ago
4
KT가 지난해 악성코드에 감염된 서버가 있다는 것을 알고도 당국에 신고하지 않은 사실이 처음 드러났다. 과학기술정보통신부 KT 침해사고 민관합동조사단은 6일 이 같은 내용을 담은 KT 해킹사고 중간 조사 결과를 발표했다.
과기정통부 관계자는 “기지국(펨토셀) 관련 서버를 포렌식 분석한 결과 과거 KT가 백신을 가동한 사실을 밝혀냈다”며 “이는 BPF도어 등 악성코드 침해 사고가 발생했었다는 흔적으로 KT에 사실관계를 보고받았다”고 밝혔다. 이어 “KT가 이를 신고하지 않고 자체 처리한 사실도 확인했다”며 “사안을 엄중하게 보고 있으며 이후 어떤 조치를 했는지 조사 중”이라고 말했다.
조사단에 따르면 KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견하고도 한국인터넷진흥원(KISA) 등 당국에 신고하지 않았다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다. 감염서버에서는 이름, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등의 정보가 저장돼 있었다.
이날 불법 펨토셀을 통한 소액결제 인증정보가 탈취된 시나리오도 함께 공개됐다. 조사단은 불법 펨토셀을 장악하면 KT의 ‘종단 암호화’를 해제할 수 있다고 밝혔다. 종단 암호화는 단말에서 코어망까지 통신 데이터 전체를 암호화하는 것이다. 조사단은 “종단 암호화가 해제된 상태에서는 불법 펨토셀이 문자메시지(SMS) 등의 인증 정보를 암호화되지 않은 평문으로 취득할 수 있다”며 “종단 암호화를 해제하는 건 굉장히 이례적인 일”이라고 설명했다.
조사단은 이날 KT의 펨토셀 관리 부실도 지적했다. 조사단은 “KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서 한 개를 복사하면 불법 펨토셀도 KT 망에 접속이 가능했다”고 밝혔다. 조사단은 지난 5일부터 이동통신사에 펨토셀 제품별 별도 인증서 발급을 의무화했다. KT가 내부망 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었다는 점도 드러났다. 펨토셀 제품의 고유 번호, 설치 지역정보 등 형상정보가 KT 망에 등록된 정보인지에 대해 검증하지 않은 것이다.
최지희 기자 mymasaki@hankyung.com
English (US) · 