[아이티데일리] KT가 해킹 발생 후 서버를 수차례 폐기하고 해당 사실을 당국에 허위 제출한 사실이 밝혀졌다. 과거 BPF도어(BPFDoor) 등 악성코드 침해 사고가 발생했음에도 자체 처리 후 숨기다가 조사단의 추궁에 뒤늦게 사실을 밝히기도 했다. 정부는 엄정한 조사를 약속하는 한편 이번 사고가 위약금 면제 사유에 해당하는지 등을 확인해 추후 발표할 예정이다.

KT 침해사고 민관합동조사단은 지난 6일 이 같은 내용이 담긴 KT 침해사고에 대한 중간 조사 결과를 발표했다.

“서버 폐기하고 침해 신고 않고”…숨기기 급급한 KT

조사에 따르면 KT는 서버 해킹 사실을 은폐하려는 시도를 여러 차례 이어왔다. 앞서 지난 8월 미국 해킹 기술 전문 간행물 ‘프랙(Phrack)’은 국가 배후 조직에 의한 KT 인증서 유출 정황을 발표했다. 이와 관련, KT는 지난 8월 1일에 연관된 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했다.

하지만 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기 시점을 당국에 허위 제출했다. 또 KT는 폐기 서버 백업 기록이 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다.

조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단, 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.

KT는 과거 발견된 악성코드를 자체 처리하는가 하면 침해사고 사실을 지연 신고하기도 했다. 지난해 3월~7월 BPF도어, 웹셸(Web Shell) 등 악성코드 감염 서버 43대를 발견했으나 이를 정부에 신고하지 않고 자체 조치했다.

BPF도어는 지난 4월 SKT 해킹 사고에서도 발견된 악성코드로, 리눅스 운영체제(OS)에서 활용되는 ‘버클리 패킷 필터(Berkeley Packet Filter, BPF)’라는 기술을 악용한다. ‘매직 패킷(Magic Packet)’을 감지했을 때만 활성화되며 그 외 상황에서는 정상 프로세스로 위장하기에 악성 행위가 발생하기 전까지는 탐지해 내기 어렵다.

KT는 지난해 악성코드 감염 사실을 최근 불법 펨토셀 사고 조사 과정에서도 밝히지 않았다. 하지만 조사단이 포렌식 과정에서 백신으로 BPF도어를 지운 흔적을 발견해 추궁하자 뒤늦게 관련 자료를 제출한 것으로 알려졌다. 과기정통부에 따르면 악성코드 삭제 흔적이 발견된 서버는 펨토셀 관련 서버였다.

이뿐 아니라 KT는 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받은 뒤 내부망에서 이상 통신 호 유형(패턴)을 차단 조치했으나 8일에서야 지연 신고했다. 9월 15일에는 외부 업체를 통한 보안점검 과정에서 내부 서버에 침해 흔적이 있는 것을 확인했음에도 사흘 뒤인 18일에 당국에 침해 사실을 알렸다.

정보통신망법 제48조의3은 침해사고가 발생한 사실을 알게 된 때부터 24시간 이내에 신고해야 한다고 규정한다. 이를 위반할 시 3,000만 원 이하 과태료가 부과된다.

소홀한 인증서 관리…2억 원대 피해, 2만 명 IMSI 유출 낳아

무단 소액결제의 원인이 된 소형 기지국(펨토셀) 관리 체계도 부실했던 것으로 확인됐다. 조사 결과 KT에 납품되는 모든 펨토셀이 같은 인증서를 사용해 이를 복사할 경우 불법 펨토셀도 KT 망에 접속할 수 있었다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT 망에 접속했던 펨토셀은 지속적인 접속이 가능한 문제도 발견됐다.

KT는 펨토셀 접속 인증 과정에서 비정상적인 IP를 차단하지 않았으며 제품 고유 번호, 설치 지역 정보 등 형상 정보가 회사 망에 등록된 정보인지도 검증하지 않았다. 펨토셀에 탑재되는 △셀 계정 △인증서 △KT 서버 인터넷 IP 등 중요정보는 펨토셀 저장 장치에서 쉽게 확인하고 추출할 수도 있었다.

조사단은 불법 펨토셀을 차단하고자 통신 3사의 신규 펨토셀 접속을 9월 10일부로 전면 제한했다. KT에는 펨토셀이 발급받은 인증서 유효기간을 단축하고 KT 유선 인터넷 IP 외에는 차단할 것을 지시했으며, 이달 5일에는 펨토셀 제품별로 별도 인증서 발급 등을 조치토록 했다.

이번 무단 소액결제 사고로 368명이 총 2억 4,319만 원(10월 17일 기준)의 피해를 입었다. 조사단은 피해를 면밀히 파악하고자 KT에 조사 대상 확대 및 분석 방식 개선을 요구해 왔다. 이에 KT는 지난해 8월 1일부터 올해 9월 10일 사이 모든 기지국 접속 이력 약 4조 300억 건과 모든 KT 가입자의 결제 약 1.5억 건 등을 분석했다.

그 결과 불법 펨토셀 20개에 접속한 2만 2,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐다. 다만 통신 기록이 없는 지난해 8월 1일 이전의 피해는 파악이 불가했다. 적은 수이긴 하나 기지국 접속 이력이 남지 않은 소액결제 피해도 발견됐다.

조사단은 현재 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법 장비를 분석하고 있다. 개인정보보호위원회와도 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지도 조사할 예정이다.

과학기술정보통신부 관계자는 “KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하겠다”며 “지금까지 확인된 사실관계와 추후 밝혀질 조사 결과를 바탕으로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지를 발표할 계획”이라고 말했다.

KT “침해 사실 미신고 송구…정보 유출 고객에 위약금 면제”

KT는 같은 날 보도자료를 내고 최근 발생한 무단 소액결제 피해와 관련한 정부 조사 결과를 인정하고, 조사에 협조해 네트워크 안전 확보와 고객 보호를 위한 전사적 대응에 나서겠다고 발표했다.

KT는 “민관합동조사단의 중간 조사 결과를 엄중히 받아들인다”며 “침해 사실 인지 후 정부에 신고하지 않은 점을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고, 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다”고 밝혔다.

회사는 고객 신뢰 회복을 최우선 과제로 삼고 네트워크 관리 및 고객 보호 프로세스를 재점검하고 있다. 특히 펨토셀과 관련해 제작·납품·설치·폐기에 이르는 전 과정을 재정비하고 인증서 재발급 및 강화된 인증 절차를 도입했다.

더불어 소프트웨어 위변조를 탐지하는 ‘시큐어 부트(Secure Boot)’ 기능을 도입했으며 기기 위치 이동을 차단하는 등 보안 장치를 강화했다. 미사용 펨토셀 연동을 차단하고 망 접근 제어 정책도 전면 개선해 취약점을 보완했다고 회사는 설명했다.

KT는 앞으로 소액결제와 개인정보 유출이 확인된 피해 고객 전원에 위약금을 면제한다고 약속했다. 또한 오는 11월 10일부터 5개월간 무료 데이터 100기가바이트(GB)를 제공하고 15만 원 상당의 단말 교체 할인 또는 통신 요금 할인 혜택을 적용할 계획이다.

KT는 “이번 사태로 고객에게 불편과 우려를 끼쳐드린 점 진심으로 사과드린다”며 “통신 전반을 근본부터 돌아보고, 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 책임을 다하겠다”고 말했다.