KT가 작년 악성 코드 감염 사실을 발견하고도 은폐했고, KT의 펨토셀(초소형 기지국) 관리 역시 전반적으로 부실했던 것으로 드러났다.
6일 과학기술정보통신부가 꾸린 KT 침해 사고 민관 합동 조사단은 이 같은 내용의 중간 조사 결과를 발표했다. KT는 지난달 브리핑에서 불법 펨토셀 20개에 접속한 2만2227명의 개인 정보가 유출됐고, 368명이 2억4319만원의 소액 결제 피해를 입었다고 밝혔다. 조사단은 “기지국 접속 이력이 남지 않은 소액 결제 피해도 일부 있었다”며 “KT의 피해자 분석 방식 검증과 누락된 피해자 존재 여부를 확인해 최종 피해 규모를 발표하겠다”고 했다.
조사단은 서버 포렌식 분석 등을 통해 KT가 작년 3~7월 BPF도어, 웹셸 등 악성 코드에 감염된 서버 43대를 발견한 뒤 신고하지 않고 자체적으로 조치했다고 밝혔다. KT는 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인 정보가 저장돼 있었다고 보고했다. 최우혁 조사단장은 “BPF 도어가 모두 지워진 상태여서 SK텔레콤 해킹 이후 당국의 전수 조사에서 나타나지 않았지만, BPF 도어 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다”며 “서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사해야 한다”고 밝혔다. 그는 또 “아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다”고 했다. 과기부는 KT의 은폐 의혹이 정보통신망법상 3000만원 이하 과태료 부과 대상이라고 밝혔다.
이번 무단 소액 결제 사건과 관련, KT가 침해 사고에 늑장 대응한 것도 문제가 됐다. KT는 지난 9월 1일 경찰로부터 무단 소액 결제 발생을 전달받고 이상 통신 패턴을 차단했음에도 불법 펨토셀 ID를 확인한 같은 달 8일에야 신고를 했다. 이 역시 정보통신망법상 3000만원 이하 과태료 부과 대상이다.
미국 보안 전문 매체 ‘프랙 보고서’ 관련 거짓말을 한 사실도 드러났다. 프랙을 통해 불거진 KT 인증서 유출 정황과 관련하여 KT는 지난 8월 1일 한국인터넷진흥원(KISA)에 관련 서버를 폐기했다고 답변했다. 그러나 실제로는 같은 달 1일(2대), 6일(4대), 13일(2대) 등 단계적으로 폐기했다. 또 폐기 서버 백업 로그가 있음에도 이를 9월 18일까지 보고하지 않았다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 보고 지난달 2일 수사기관에 수사 의뢰했다고 밝혔다
이번 사태의 원인이 된 펨토셀 관리도 전반적으로 부실했던 것으로 나타났다. KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서만 복사하면 불법 펨토셀도 KT 내부망에 접속할 수 있는 구조였다. 또 인증서 유효기간이 10년이라 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 망에 접속할 수 있었다. 또 펨토셀 제조사가 펨토셀 관련 주요 정보를 보안 관리 체계 없이 펨토셀 제작 외주사에 제공했고, KT 내부망에 펨토셀이 접속 인증을 할 때도 다른 회사나 해외 IP 등 비정상 IP를 차단하지 않았다는 것이다.
과기부는 무단 소액 결제 사고의 원인으로 꼽힌 KT의 펨토셀 관리 문제점, 해킹 은폐 의혹과 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다. 다만 최종 조사 결과 발표 일정은 아직 정해지지 않았다.