KT가 지난해 자체 서버에서 대규모 해킹 피해를 인지하고도 정부에 신고하지 않은 것으로 드러났다. 정부는 해킹 은폐와 통신망 보안 부실에 대해 “엄중히 조치하겠다”고 밝혔다.
민관 합동 조사단은 6일 서울 정부서울청사에서 브리핑을 열고 “KT가 지난해 3∼7월 사이 은닉형 악성코드 ‘BPF도어’와 웹셸에 감염된 서버 43대를 발견하고도 당국에 보고하지 않았다”고 밝혔다.
KT는 당시 자체적으로 조치를 마무리하고 피해 사실을 외부에 알리지 않은 것으로 조사됐다. 조사단에 따르면 감염된 서버에는 가입자 이름, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다.
BPF도어는 지난해 SK텔레콤 해킹 사태에서도 사용된 악성코드로, 외부 침입자가 시스템을 원격 제어할 수 있는 것으로 알려져 있다.
정부는 KT의 은폐 정황을 “매우 심각하다”고 보고 있다. 조사단 관계자는 “KT가 해킹 사실을 인지하고도 신고 의무를 다하지 않은 것은 명백한 문제”라며 “사실관계를 면밀히 확인해 관계 기관에 합당한 제재를 요청할 것”이라고 말했다.
조사단은 KT의 초소형 기지국(펨토셀) 운영 과정에서도 심각한 보안 취약점을 확인했다.
KT가 납품받은 모든 펨토셀이 동일한 인증서를 사용해, 인증서만 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었다. 인증서 유효기간은 10년으로, 한 번 접속한 펨토셀은 지속적으로 접근이 가능한 구조였다.
이 과정에서 펨토셀 제작 외주사가 KT 서버 IP와 인증서 등 중요 정보를 별도 보안관리 없이 취급한 점도 드러났다.
불법 펨토셀이 암호화를 해제하면 ARS, 문자메시지(SMS) 등 결제 인증 정보를 평문으로 빼돌릴 수 있어 소액결제 피해 확산이 우려된다.
조사단은 불법 펨토셀이 문자나 음성 통화 내용까지 탈취할 수 있는지에 대해서도 추가 실험을 진행할 예정이다.
또 KT의 피해자 분석 방식이 정확했는지 재점검하고, 누락된 피해자가 있는지도 확인할 방침이다.
과학기술정보통신부는 이번 조사 결과를 토대로 법률 검토를 진행한 뒤, KT의 책임 범위와 제재 수준을 확정할 예정이다.
최우혁 과기정통부 네트워크정책실장은 “해킹 은폐와 관리 부실이 사실로 확인될 경우 관련 법령에 따라 엄정히 조치하겠다”고 밝혔다.
