국가기간통신망 운영 기업인 KT가 자사의 해킹피해 사실을 고의로 은폐하고, 무단 소액결제 사태의 매개였던 불법 초소형 기지국(펨토셀)에 대해서도 사실상 무방비였던 것으로 드러났다. KT는 당시 개인정보 유출 정황이 없다는 이유로 신고를 하지 않았다. KT 소액결제 사태를 조사중인 개인정보보호위원회는 KT의 악성코드 감염 건에 대해 개인정보 유출 여부와 지연 신고 가능성 등을 함께 살펴볼 계획이다.

◆개보위, 합조단 조사 공유 = KT 해킹사고를 조사 중인 민·관 합동조사단은 6일 KT가 지난해 3~7월 사이 BPF도어·웹셸(Webshell) 등 악성코드에 감염된 서버 43대를 자체 확인하고도 관계기관에 신고하지 않았다고 발표했다. BPF도어는 서버 내부에 장기간 잠복하며 탐지를 피하는 은폐형 악성코드로 올해 초 SKT 해킹 사태 때도 사용된 바 있다.

KT는 감염 서버에 이름·전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 가입자 개인정보가 저장돼 있었다고 조사단에 보고했다. 다만 SK텔레콤처럼 가입자 핵심 정보가 저장된 홈가입자정보서버( HSS)가 피해 대상에 포함됐는지나 개인정보 유출 규모, SKT 공격자와 동일 여부 등에 대해서는 아직 파악되지 않았다.

최우혁 조사단장은 “BPF도어(흔적)가 모두 지워진 상태여서 SKT 해킹 이후 전수조사에서 나타나지 않았지만, 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다”며 “서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사해야 한다”고 설명했다.

이어 “아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”면서도 “이번에 여러 가지 추가 사고 건들이 발견돼서 관련성이 있는지 면밀하게 살펴볼 예정”이라고 덧붙였다.

조사단은 KT가 지난해 해킹 사실을 발견하고도 당국에 알리지 않고 은폐한 정황에 대해 “엄중히 보고 있다”며 “사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획”이라고 밝혔다.

조사단은 KT가 미국의 보안 전문 매체 프랙 등에서 서버 해킹 가능성을 경고한 뒤 서버를 폐기했다는 의혹에 대해 공무를 방해할 목적으로 가짜 사실(위계)을 쓴 형법상 ‘위계에 의한 공무집행방해’ 혐의로 경찰에 수사를 의뢰했다.

현행 개인정보보호법 시행령에 따르면 개인정보처리자는 1000명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 되면 72시간 이내에 개보위에 신고해야 한다. KT는 당시 개인정보 유출 정황이 발견되지 않았다는 이유로 신고를 하지 않았다는 입장이다.

그러나 앞서 SKT는 유사한 공격에 노출돼 LTE·5G 전체 이용자 2324만4649명(알뜰폰 포함·중복 제외)의 개인정보가 유출된 바 있다.

무단 소액결제 사건에 대해 KT의 신고를 받고 조사중인 개보위는 과학기술정보통신부로부터 합동조사단의 조사내용을 모두 공유 받았다. 지난해 미신고 해킹에 대한 조사도 함께 실시할 계획이다.

◆불법 펨토셀도 인증서 하나로 KT망 접속 = 6일 조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출과 관련해 펨토셀 운영 및 내부망 접속 과정의 보안 문제점도 확인했다.

조사단에 따르면 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 인증서 유효기간도 10년이라 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 접속이 가능했다.

KT는 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 해당 정보는 펨토셀 저장 장치에서 쉽게 확인, 추출할 수 있었다.

KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.

또 KT가 단말과 기지국 간, 단말과 코어망 간 종단 암호화를 하고 있었지만, 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었던 점도 파악됐다. 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있었다. 조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 방침이다.

조사단은 “적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다”며 KT의 피해자 분석 방식을 재점검해 누락된 피해자 존재 여부도 확인할 계획이라고 덧붙였다.

과기정통부는 KT 유심 교체 과정에서 SKT 사태 때와 마찬가지로 수급 대란 등이 벌어질 경우 영업 중단 조치를 검토한다고 밝혔다.

◆“실무자가 임의로 못 덮을 사건” = 한편 KT새노조는 이날 성명에서 이번 사태가 “국민 기업을 자처해 온 KT가 국민신뢰를 스스로 무너뜨린 사건”이라며 “국가 기간통신망 운영 기업의 고의적 은폐이며 명백한 법령 위반이자 기업 윤리의 붕괴”라고 성토했다. 이들은 “KT 내부 보안 전문가는 국내 최고 수준”이라며 “이 정도 규모의 백도어 감염 사실은 실무자가 임의로 덮을 수 있는 사안이 아니다”라고 지적했다. 이어 “이는 보고 체계 속에서 명백히 상부에 보고되었고, 특히 당시 SKT 사건이 국가적 중요 사안이었던 만큼 김영섭 전 대표가 보고 받았을 가능성이 매우 높다”고 꼬집었다.

KT새노조는 “이것은 은폐 지시 라인에 대한 형사 책임을 명확히 해야 하는 사안”이라며 “최종 책임자는 엄중 처벌 받아야 한다”고 주장했다.

이재걸·고성수 기자 claritas@naeil.com