과학기술정보통신부가 KT의 불법 초소형기지국(펨토셀) 침해사고 중간조사 결과에서 회사의 부실한 보안관리 수준을 공개했다. 이에 따라 펨토셀 인증체계가 허술해 불법기기가 쉽게 망에 접속할 수 있었고, 과거에 발견한 악성코드 감염을 신고하지 않았으며, 서버 폐기 시점까지 허위로 보고한 사실이 드러났다. 정부는 KT의 서버 폐기 허위보고와 관련해 '위계에 의한 공무집행방해' 혐의로 경찰에 수사를 의뢰했다.
6일 과기정통부는 정부서울청사에서 KT 침해사고 민관합동조사단의 중간조사 결과를 발표했다. 조사단은 △불법 펨토셀에 의한 소액결제 및 개인정보 유출 △국가배후조직에 의한 KT 인증서 유출 정황 △KT가 보안점검에서 발견한 서버 침해사고 등 3건을 조사했다. 이 과정에서 KT의 △펨토셀 관리 부실 △과거 악성코드 미신고 △침해사고 신고 지연 △서버 폐기 허위보고 등을 확인했다.
펨토셀 인증 '구멍'...암호화 뚫려 평문 노출
조사단은 KT의 펨토셀 관리가 전반적으로 허술해 불법기기의 내부망 침투를 막지 못했다고 지적했다. 가장 큰 문제는 KT에 들어오는 펨토셀이 모두 같은 인증서로 작동한다는 점이다. 인증서만 복사하면 불법 펨토셀도 KT 망에 접속이 가능했다. 게다가 인증서 유효기간을 10년으로 설정해 한 번 망에 들어온 기기는 계속 접속할 수 있었다.
제조과정에서의 보안 문제도 발견됐다. 펨토셀 제조사는 펨토셀에 사용되는 셀아이디(ID), 인증서, KT 서버 아이피(IP) 같은 핵심 정보를 보안장치 없이 외주 제작사에 건넸다. 펨토셀 저장장치에서 이런 정보를 쉽게 빼낼 수 있다는 것도 확인됐다.
KT는 망 접속과정에서 타사나 해외에서 들어오는 비정상 IP조차 걸러내지 않았고, 기기의 제품번호나 설치지역 같은 기본정보도 제대로 확인하지 않았다.
조사단은 불법 펨토셀을 통제한 공격자가 통신 암호를 풀 수 있었다고 봤다. 암호화가 해제된 뒤에는 인증정보(ARS·SMS)가 평문 상태로 노출됐다. 전문가들은 펨토셀 하드웨어와 소프트웨어를 조작하면 통신 내용을 가로챌 수 있다고 지적했고, 실제 테스트베드 실험에서도 암호화 해제 이후 네트워크에서 데이터가 평문으로 흘러 다니는 것을 확인했다.
감염 43대 은폐·서버 폐기 거짓말
조사단은 서버 분석에서 KT가 과거 악성코드 공격을 당했을 때도 정부에 알리지 않고 처리한 것을 확인했다. KT는 지난해 3~7월 버클리패킷필터(BPF)도어, 웹셸 같은 악성코드에 감염된 서버 43대를 찾아냈다. 감염된 서버 일부에는 이름, 전화번호, 이메일, 단말기 식별번호 같은 개인정보가 저장돼 있었다.
침해사고 신고도 늦었다. KT는 9월1일 경찰로부터 무단 소액결제가 발생하고 있다는 통보를 받고 내부망에서 이상한 통신 패턴을 찾아내 9월5일 새벽 차단 조치까지 취했다. 그러나 정부에 침해사고를 신고한 것은 9월8일 저녁이다. 불법 펨토셀 ID를 확인한 후 뒤늦게 알린 것이다.
서버 폐기에 대한 거짓말도 드러났다. 8월8일 외신 '프랙'이 보고서에서 국가배후 해킹조직의 KT 인증서 유출 정황을 보도했지만 KT는 한국인터넷진흥원(KISA)에 보고서가 나오기 일주일 전인 8월1일 관련 서버를 폐기했다고 보고했다. 하지만 실제로는 8월1일 2대, 8월6일 4대, 8월13일 2대 등을 각각 나눠 폐기했다. 이들 서버의 백업로그도 갖고 있었지만 9월18일까지 조사단에 이 사실을 숨겼다.
조사단은 KT가 일부러 정부 조사를 방해하려 했다고 판단했다. 이에 정부는 형법상 위계에 의한 공무집행방해 혐의로 10월2일 경찰에 수사를 의뢰했다.
외부 업체를 통한 보안점검에서 서버 침해사고가 발견됐지만 이 역시 곧바로 신고하지 않았다. 침해 흔적이 발견된 시점은 9월15일이었지만 3일 뒤인 18일에야 당국에 이를 알렸다.
현재까지 밝혀진 피해 규모는 불법 펨토셀 20개에 접속한 2만2227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호 등이다. 무단 소액결제 피해자는 368명, 금액은 2억4319만원이다.
다만 통신기록이 남아 있지 않은 지난해 8월1일 이전의 피해는 아직 파악하지 못했다. 조사단은 KT의 피해자 분석방식을 다시 검증하고 누락된 피해자가 없는지 확인한 뒤 최종 피해 규모를 밝힐 계획이다.