[더파워 유연수 기자] KT가 지난해 악성코드 감염 사실을 인지하고도 당국에 신고하지 않은 채 자체적으로 조치한 것으로 드러났다. 정부는 KT의 은폐 정황을 확인하고 법적 조치를 검토 중이라고 7일 밝혔다.
민관 합동조사단은 지난 6일 정부서울청사에서 중간 조사 결과를 발표하며 “KT가 지난해 3월부터 7월 사이 ‘BPF도어(BPFDoor)’와 ‘웹셸(Web Shell)’ 등 은닉성이 높은 악성코드에 감염된 서버 43대를 발견하고도 이를 관계기관에 신고하지 않았다”고 밝혔다.
BPF도어는 올해 초 SK텔레콤 해킹 사건에서도 사용된 악성코드로, 서버 내부에 잠복해 외부 명령을 수신하고 시스템을 통제할 수 있는 것으로 알려져 있다. KT는 당시 감염된 서버에 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다고 조사단에 보고했다.
조사단은 “KT가 해킹 사실을 인지하고도 신고하지 않은 것은 매우 엄중한 사안”이라며 “사실관계를 면밀히 규명하고 관계기관과 협의해 합당한 조치를 취할 예정”이라고 밝혔다. 정보통신망법에 따르면 해킹 사고 미신고 시 3000만원 이하 과태료가 부과될 수 있다.
또한 KT의 초소형 기지국(펨토셀) 관리 부실도 주요 문제로 지적됐다. 조사단에 따르면 KT는 납품된 모든 펨토셀에 동일한 인증서를 사용해 불법 복제된 장비도 KT망에 접속할 수 있었으며, 인증서 유효기간이 10년으로 설정돼 한 번 접속한 펨토셀은 이후에도 지속적으로 KT망에 접근이 가능했다.
아울러 펨토셀 제조 외주사에 셀 ID, 인증서, 서버 IP 등 중요 정보를 별도 보안체계 없이 제공한 점도 드러났다. KT는 내부망 접속 과정에서 해외 IP 등 비정상 접근을 차단하지 않았으며, 접속 장비가 KT망에 등록된 합법 장비인지 여부도 검증하지 않은 것으로 확인됐다.
이로 인해 불법 펨토셀이 종단 암호화를 해제하고 ARS·SMS 인증정보를 평문으로 탈취해 무단 소액결제에 악용된 것으로 조사됐다. 조사단은 “기지국 접속 이력이 없는 소액결제 피해 사례도 일부 확인됐다”며 피해자 누락 여부를 추가 점검할 계획이라고 덧붙였다.
과학기술정보통신부는 이번 조사 결과를 토대로 KT의 위법 여부와 함께 위약금 면제 사유 해당 여부를 검토할 방침이다.
