정부가 불법 초소형 기지국(펨토셀) 관리 부실로 해킹 사태를 일으킨 KT에 전 이용자를 대상으로 한 위약금 면제 조치를 29일 요구했다.
과학기술정보통신부는 이날 정부서울청사에서 KT, LGU+ 침해사고에 대한 민관합동조사단의 조사 결과를 발표했다. 또 KT의 이용약관 상 위약금 면제 규정에 대한 검토 결과도 함께 전했다.
조사단은 △불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 △익명의 제보에 따른 KT 인증서 유출 정황(프랙보고서, 8월 8일) △KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고원인 분석 및 재발방지 대책을 마련했다.
조사단은 KT가 보유‧관리하고 있는 펨토셀 전반에 대한 보안 실태를 조사하고, 불법 펨토셀로 인한 침해사고가 발생한 경위와 사고 원인을 파악하기 위해 경찰청과 협력해 피의자로부터 확보한 압수물을 정밀 분석했다.
또 KT 통신망 테스트베드를 활용해 펨토셀 운영 및 통신 암호화 관련 문제점을 파악했으며 불법 펨토셀로 인한 개인정보 유출, 무단 소액결제 등 피해 규모도 검증했다. KT 전체 서버(약 3만3000대)를 대상으로 6차례에 걸쳐 악성코드 감염여부에 대해 강도 높은 조사를 시행하고, 감염서버에 대해서는 포렌식 등 정밀분석을 통해 정보유출 등 피해 발생 여부를 파악했다.
조사단은 KT가 지난 10월 17일에 발표한 피해 규모에 대한 산출 방법의 적절성 및 산출과정에서의 피해 누락 여부 등의 검증을 거쳤다. 그 결과, 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해가 발생한 것을 확인했다.
이는 KT가 산출한 피해 규모와 일치하는 수치지만 통신결제 관련 데이터가 남아있지 않은 2024년 7월 31일 이전 기간에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다.
조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염되었음을 확인했다. 확인된 악성코드 정보는 피해확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간‧공공기관에 즉시 공유하고, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.
정보유출과 관련해 조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장되어 있으나 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없었다. 그러나 KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었다. 이에 로그기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했다.
해커는 먼저 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 이후 불법 펨토셀이 강한 전파를 방출하도록 해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결됐으며 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했다.
또 해커가 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정했다. 피해자의 개인정보로 상품권 구매 사이트를 접속해 상품권 구매 시도 및 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 판단된다.
조사단은 조사를 통해 KT의 정보보호 체계에 문제점을 발견하고 재발방지 대책을 마련했다.
조사단은 불법 펨토셀 접속 차단을 위해 통신3사의 신규 펨토셀 접속을 전면 제한하는 한편, KT에 펨토셀이 발급받은 통신사 인증서 유효기간을 기존 10년에서 1개월로 단축하도록 했다.
이어 펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단했으며 펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증, 펨토셀 제품별 별도 인증서 발급 등을 조치하도록 했다.
KT는 제조사가 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책을 마련해야 한다. 또한 펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 탐지‧차단 등 기술적 조치를 취해야한다. 이어 펨토셀 보안 취약점 발굴‧조치를 위한 화이트해커와의 협력 등 지속적 관리체계를 구축‧운영해야 한다.
또 KT는 재발방지를 위해 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화해야 한다.
게다가 KT는 자체 규정에 따라 시스템 로그 및 이벤트를 분석해 보안점검을 실시해야 하나 보안점검 미흡으로 인해 악성코드 뿐만 아니라 쉽게 탐지가 가능한 웹셸도 발견하지 못했다.
조사단은 EDR, 백신 등 보안 솔루션 도입 확대, 제로트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기점검 및 제거 등 보안관리 강화를 요구했다.
KT는 펨토셀 인증 및 제품등록을 관리하는 시스템을 방화벽 등 보안장비 없이 운용하고 있어 외부 공격에 취약한 상태였다. 또 시스템의 로그기록 보관기간이 1~2개월에 불과해 침해사고 최초 침투시점, 악성코드 감염방법 등 상세한 사고원인 파악을 조사하는데 한계가 있었다.
이에 펨토셀 인증 및 제품등록을 관리하는 시스템에 방화벽 등 보안장비를 도입하고, 운영 시스템에 대한 로그기록을 최소 1년 이상 보관해야 한다. 조사단은 중앙 로그 관리 시스템을 구축해 모니터링해야 한다며 대책 마련을 요청했다.
이외에도 KT는 거버넌스 체계, 자산관리, 공급망 보안 등 미흡한 부분에 대해 지적 받았다.
KT는 지난해 3월 자체적으로 수행한 보안점검 과정에서 웹셸 및 BPFDoor 등 악성코드를 발견했으나 침해사고 신고를 하지 않고 자체적으로 조치했다. 이번 무단 소액결제 사고도 정보통신망법에 따라 침해사고 발생을 인지한 후 24시간 이내 신고해야 했으나 지연신고하거나 신고 자체를 하지 않았다.
정부는 정보통신망법 위반에 따른 과태료를 KT에 부과할 예정이다.
KT는 프랙 보고서에 제보된 침해 정황 서버와 관련해 8월 1일 서버를 폐기했다고 답했으나 조사단에 폐기 시점을 허위로 제출했다. 실제 폐기 시점은 8월 1일 2대, 8월 6일 4대, 8월 13일 2대 등이다.
또 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 보고하지 않았다. 조사단은 정부 조사를 방해하기 위한 고의성이 있다고 판단돼 수사기관에 수사를 의뢰했다.
과기정통부는 이번 조사단의 조사결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출하도록 하며 KT의 이행 여부를 내년 6월까지 점검할 계획이다. 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 예정이다.
더불어 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 방침이다.
정부, KT 위약금 면제해야…회사 귀책사유 해당
특히 과기정통부는 이번 침해사고가 KT 이용약관상 위약금 면제 규정에 해당하는지 여부 검토를 위해 법률 자문을 진행했다. KT 이용약관은 ‘기타 회사의 귀책 사유’로 이용자가 서비스를 해지할 경우, 위약금을 면제하도록 규정하고 있다.
조사단의 조사결과에 따르면, 이번 침해사고와 관련해 KT에 펨토셀 인증서 관리, 펨토셀 제작 외주사 보안관리, 비정상 IP 접속 관리, 펨토셀 제품 형상정보 검증 등 기본적인 펨토셀 보안조치 과정에서 명백한 문제점이 있었다. 이 과정에서 KT가 정보통신망법을 위반한 사실도 확인됐다.
과기정통부는 이번 침해사고에서 KT의 과실이 발견된 점과 KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려했다. 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.
KT 이어 LG유플러스도 유출 사고 발생
익명의 제보자는 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)가 유출됐다고 KISA 측에 알렸다. 과기정통부는 자체 조사단을 구성해 현장 조사를 실시했고, 이후 LG유플러스가 KISA에 침해사고를 신고하자 민관합동조사단을 구성‧운영했다.
조사단의 조사결과 실제 LG유플러스에서 일부 정보가 유출된 것으로 확인됐다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 자료와 다르다는 점을 확인했다. 자료가 유출되었을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황이었다.
또 익명의 제보자는 해커가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 침투했다고 주장했다. 조사단은 이 주장에 대해서도 확인을 시도했으나 협력사 직원의 노트북에서 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기돼 조사가 불가능했다.
이번 발표를 보면 조사단이 일부 정보 유출을 확인했으나 구체적인 침투 경로, 피해 규모 등의 여부는 확인 불가능한 상태로 해석된다.
조사단은 LG유플러스 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한 후 이루어진 점을 고려할 때 이를 부적절한 조치로 판단했다. 이에 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다.
배경훈 부총리는 “이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”라고 강조했다.
