[방송기술저널 백선하 기자] KT가 지난해 악성코드 감염을 발견하고도 정부에 신고하지 않은 채 자체 처리한 것으로 드러났다.
KT 침해사고 민관합동조사단은 11월 6일 ‘KT 침해사고에 대한 중간 조사결과’를 통해 이 같은 사실을 밝혔다.
KT는 지난해 3월부터 7월까지 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등의 정보가 담긴 서버 43대가 BPF도어와 웹셸 등 악성코드에 감염된 사실을 자체 파악했지만 당국에 신고하지 않았다. BPF도어는 은닉성이 강한 악성코드로 올해 초 불거진 SK텔레콤 해킹 사건에서도 큰 피해를 준 악성코드다. KT가 이 같은 사실을 밝히지 않으면서 SK텔레콤 사태 이후 당국이 실시한 해당 악성코드 감염 여부에 대한 업계 전수조사에서도 이 사실이 발견되지 않은 것으로 드러났다.
이에 대해 민관합동조사단은 “(은폐 정황을) 엄중히 보고 있다”며 “사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획”이라고 말했다.
“추가 조사해 최종 피해 규모 확정할 것”
민관합동조사단은 이번 조사를 통해 추가 피해 가능성을 제기했다. KT의 소액 결제 사고와 개인정보 유출 사고는 시스템에 등록되지 않은 불법 초소형 기지국 이른바 펨토셀로 인해 발생한 것으로 확인됐다. 이에 KT는 자체 조사 결과 368명이 총 2억 4,319만 원의 소액결제 피해를 입었다고 발표했다. 하지만 통신 기록이 남아 있지 않은 2024년 8월 1일 이전 피해에 대해서는 파악이 불가능했다.
민관합동조사단은 “조사 결과, 기지국 접속 이력이 남지 않은 소액결제 피해가 일부 확인됐다”며 “소액결제 해킹이 이전부터 발생했을 가능성이 제기된 만큼, 조사단은 추가 조사를 거쳐 최종 피해 규모를 확정할 예정”이라고 발표했다.
“모든 펨토셀, 동일 인증서 사용”
또한 이번 조사를 통해 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용한 것으로 드러났다. 인증서 하나만 복사해도 불법 펨토셀이 KT망에 접속할 수 있었던 것이다. 인증서 유효기간도 10년으로 길었고, 셀 주소‧인증서‧KT 서버 인터넷 통신규약 등도 보안관리 체계 없이 외주사에 제공됐으며, 해외 의심 인터넷 주소(IP) 차단 장치도 없었다.
민관합동조사단은 불법 펨토셀 접속 차단을 위해 이동통신 3사의 신규 소형기지국 접속을 전면 제한하는 한편 KT에 △소형 기지국이 발급받은 통신사 인증서 유효기간 단축(10년 → 1개월) △소형 기지국이 KT 망에 접속 요구 시 KT 유선 인터넷 통신규약 외에는 차단 △소형기지국이 KT 망에 접속 시 형상 정보 확인 및 인증 △소형 기지국 제품별 별도 인증서 발급 등을 조치토록 했다.
과학기술정보통신부는 이번 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사 결과를 국민에게 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이라고 밝혔다.
