지난해 KT에 BPF도어(BPFDoor)라는 은닉성이 강한 악성코드가 서버에 대량 감염된사실을 자체 파악하고도 당국에 신고하지 않은 채 은폐한 사실이 민관합동조사단을 통해 드러났다. BPF도어는 올해 초 불거진 SKT 해킹 사례에서도 큰 피해를 준 악성코드다.
6일 KT 해킹 사고를 조사 중인 민관합동조사단은 중간 조사 결과에 대한 브리핑을 했다. 조사단은 KT가 감염 사실을 숨기며 SKT 사태 이후 당국이 해당 악성코드 감염 여부에 대해 업계를 전수조사한 과정에서도 해킹 사실이 발견되지 않은 것으로 뒤늦게 나타났다고 설명했다.
조사단은 서버 디지털 증거 수집 및 분석(포렌식 분석) 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했으며 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다.
KT는 2024년 3월부터 7월까지의 기간 동안 BPFDoor, 웹셀 등 악성코드 감염서버 43대를 발견해 정부에 신고 없이 자체적으로 조치하고 일부 감염 서버에서 △성명 △전화번호 △이메일주소 △단말기 식별번호(IMEI) 등의 정보가 저장돼 있음을 조사단에 보고했다. 조사단은 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획이다.
9월1일 KT는 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고 내부망에 무단 소액결제 관련 이상 통신 호 유형(패턴)을 발견해 차단 조치를 했음에도 불법 펨토셀 계정의 존재를 확인한 후에 침해사고를 지연 신고했다.
불법 소형 기지국(불법 펨토셀)에 의한 소액결제 및 개인정보 유출사고를 조사 중인 조사단은 이와 관련해 △불법 펨토셀로 인한 피해 현황 △KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점 △소액결제 인증정보 탈취 각본 △과거 BPFDoor 등 악성코드 발견 및 조치 사실 △침해사고 신고 지연 등 법령 위반 사항을 확인했다.
조사단은 중간 조사결과에서 KT의 일반적인 망 관리 실태조사 및 시험 환경에서의 검증을 통해 펨토셀 운영 및 내부망 접속 과정 상의 보안 문제점을 도출했다. 최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안 위협 요인을 파악하고 재발방지 대책을 마련해 발표할 계획이다.
이번 침해사고로 인한 피해자를 빠짐없이 파악하기 위해 KT에 피해 조사 대상 확대 및 분석방식 개선을 지속적으로 요구했다. 이에 KT는 통신기록이 남아있는 2024년 8월1일~2025년 9월1일 간 모든 기지국 접속 이력 약 4조300억 건 및 모든 KT 가입자의 결제 약 1.5억 등 확보 가능한 모든 데이터를 분석했다.
이를 통해 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별 번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐으며 368명의 2억4319만 원의 소액결제 피해를 10월17일 발표했다.
다만 통신기록이 없는 2024년 8월1일 이전의 피해에 대해서는 파악이 불가능했으며 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있어 조사단은 KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사한 경우 불법 펨토셀도 KT 망에 접속이 가능했다. 또한 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT 망에 접속할 수 있는 문제점을 발견했다.
또한 펨토셀 제조사가 펨토셀에 탑재되는 셀 계정, 인증서, KT 서버 인터넷 통신규약(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함을 확인했다.
아울러 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 인터넷 통신규약(IP) 등 비정상 IP를 차단하지 않았고 펨토셀 제품의 고유번호, 설치 지역정보 등 형상정보가 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
조사단은 불법 펨토셀 접속 차단을 위해 통신3사의 신규 소형기지국 접속을 9월10일부로 전면 제한했다. 또 KT에는 △펨토셀이 발급받은 통신사 인증서 유효기간 단축 △펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 △펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 △펨토셀 제품별 별도 인증서 발급 등을 조치하도록 했다.
KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 핵심망(코어망) 간 종단 암호화를 하고 있다.
조사단은 전문가 의경 청취, KT 통신망 시험대(테스트베드) 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보를 평문으로 취득할 수 있었던 것으로 판단했다.
또한 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 계획이다.
KT가 외부업체를 통한 보안점검에서 발견한 서버 침해 사고와 관련해 KT는 외부 업체를 통한 보안점검 결과를 통해 9월15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나 9월18일 오후 11시 57분께 당국에 침해 사고를 지연 신고했다. 향후 침해 관련 서버에 대한 디지털 증거 복구 및 증거 분석을 통해 사고 원인 및 KT의 보얀 취약점을 도출할 계획이다.
조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중에 있으며 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻겧 확보했는지 조사해 나갈 방침이다.
과학기술정보통신부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편 KT 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
한편 KT는 지난 5일부터 KT닷컴 홈페이지에서 접수한 고객을 대상으로 ‘유심 무상 교체 서비스’를 시작했다. KT 고객은 KT닷컴이나 유심 교체 전담센터에서 예약한 뒤 전국 KT 대리점에서 유심을 교체할 수 있으며 대리점 방문이 어려운 고객을 위해 이달 11일부터 택배 배송과 셀트 개통 서비스도 운영할 계획이다. 또 KT 망을 이용하는 알뜰폰 고객에게도 유심 무상 교체를 지원한다.