[아이티데일리] 국가정보원이 지난 9월 KT 일부 스마트폰에서 문자메시지(SMS) 암호화가 해제되는 현상을 확인 후, 사이버안보를 위협할 사안으로 판단해 KT와 과학기술정보통신부에 이 사실을 통보한 것으로 드러났다.

13일 국정원이 국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)에게 제출한 자료에 따르면, 국정원은 “KT의 일부 스마트폰 기종에서 문자 암호화가 해제될 수 있다”는 제보를 입수한 뒤 사실 관계를 검증했다.

그 결과 문자 통신이 ‘종단 암호화(End-to-End Encryption)’ 방식으로 보호되지 않아 중간 서버에서 복호화될 수 있는 취약점을 확인했다.

종단 암호화는 발신자에서 시작해 메시지가 최종 사용자에게 도달하는 동안 내용을 암호화하는 방식이다. 전송되는 내용을 평문으로 되돌리기 위한 암호화 키는 최종 사용자만 보유하고 있어 메시지를 주고받는 이들 외에는 내용을 알 수 없다.

이동통신사들은 국제표준화기구(ISO)와 한국정보통신기술협회(TTA)의 권고에 따라 송신부터 수신까지 중간 서버가 내용을 볼 수 없도록 종단 암호화를 적용하고 있다. 하지만 국정원 검증 결과, KT 일부 단말기에서 이 보호 장치가 무력화된 것으로 파악됐다.

다만 국정원은 암호화 해제가 발생한 기종이나 경위, 실제 정보 유출 여부 등에 대해선 밝히지 않았다.

KT 침해사고 민관합동조사단은 국정원의 통보 내용을 바탕으로 일부 스마트폰만의 문제가 아닌 KT 전체 가입자 망에서도 같은 현상이 재현될 수 있는지를 추가 조사 중이다.

앞서 KT는 소액결제 해킹 사건에서도 해커가 피해자의 문자, ARS 인증 정보를 탈취한 사실이 확인된 바 있다. 조사단은 전문가 의견 청취, KT 통신망 테스트 등을 통해 해커가 불법 소형 기지국(불법 펨토셀)을 장악해 종단 암호화를 해제할 수 있으며, 이 상태에서 해커가 인증 정보를 평문으로 취득할 수 있었던 것으로 판단했다.

전문가들은 조사단에 펨토셀 하드웨어·소프트웨어를 자체 개발해 전송 내용을 가로채는 기능을 구현할 수 있다는 의견을 전한 것으로 알려졌다. 조사단도 실험 결과 종단 암호화 해제 시 네트워크 구간에서 평문으로 데이터가 전송되는 사실을 확인했다.

현재 조사단은 불법 펨토셀로 결제 인증 정보 외에 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험을 진행 중이다.

아울러 최민희 의원이 과기정통부로부터 제출받은 자료에서는 또 다른 문제도 발견됐다. KT는 지난해 3월 BPF도어(BPFDoor) 악성코드 감염을 인지하고도 실제 감염 사실을 파악한 시점은 한 달 뒤인 4월로 확인됐다. 이후 트렌드마이크로에 백신 업데이트를 요청했다.

트렌드마이크로는 한국 통신사 대상 BPF도어 공격 사실을 분석·발표했으나 고객사 사정을 이유로 통신사명을 공개하지 않았다.

문제는 KT가 이 사실을 조직적으로 은폐했다는 의혹이다. 최민희 의원 측은 “국정원의 문자 암호화 해제 통보와 연결해 볼 때 KT가 BPF도어 감염 사실을 알고도 외부에 알리지 않았으며 국정원 통보에도 소극적으로 대응했다”고 꼬집었다.

조사 결과 BPF도어에 감염된 것으로 확인된 서버는 43대다. 이 중 일부는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 가입자 개인 정보가 포함된 것으로 알려졌다.

민관합동조사단은 문자 암호화 해제와 BPF도어 감염이 해킹 사건과 어떤 연관이 있는지, 그리고 실제 정보 유출·피해가 발생했는지를 밝히기 위한 조사를 이어가고 있다.