[더파워 유연수 기자] KT의 서버 수십대가 악성코드에 감염되고, 불법 초소형 기지국(펨토셀)을 통해 이용자 정보와 결제 인증이 탈취될 수 있었던 것으로 드러났다. 과학기술정보통신부는 29일 민관합동조사단의 최종 조사 결과를 발표하며 “KT가 안전한 통신서비스를 제공할 계약상 주요 의무를 다하지 못했다”며 전체 이용자를 대상으로 한 위약금 면제를 요구했다고 밝혔다.
과기정통부 민관합동조사단이 KT 서버 3만3000대를 6차례 점검한 결과, 이 가운데 94대 서버가 BPF도어(BPFDoor), 루트킷, 디도스(DDoS) 공격형 코드 등 103종의 악성코드에 감염된 사실이 확인됐다. 이는 악성코드 33종이 감염됐던 SK텔레콤 사례보다 감염 범위가 더 넓은 수준이다.
조사단에 따르면 BPF도어 등 일부 악성코드는 2022년 4월부터 인터넷 접점이 있는 서버의 파일 업로드 취약점을 통해 KT 내부망에 침투한 것으로 파악됐다. 루트킷 계열 악성코드는 방화벽·시스템 로그 등 기록이 남아 있지 않아 구체적인 침투 경로나 공격 시점을 추적하기조차 어려웠다. KT는 이미 작년 3월 일부 감염 서버를 내부적으로 확인하고도 정부에 신고하지 않은 채 서버 41대에서 악성코드를 삭제하는 등 자체 조치에 그쳐 피해 파악이 늦어졌다는 지적을 받았다.
불법 펨토셀을 통한 개인정보 탈취와 무단 소액결제 피해도 재확인됐다. 조사 결과, 통신망에 무단 접속한 불법 펨토셀로 인해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호가 유출된 이용자는 2만2227명, 이 가운데 368명은 총 2억4300만원 규모의 무단 소액결제 피해를 본 것으로 나타났다. 다만 통신결제 관련 데이터가 남아 있지 않은 2023년 7월 31일 이전 기간에 대해서는 피해 규모를 확인할 수 없어 추가 피해 여부는 남은 과제로 지적됐다.
조사단이 경찰로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 이 장비에는 KT 망 접속에 필요한 인증서와 인증 서버 IP 정보가 담겨 있었고, 이를 활용해 KT 망에 접속한 뒤 해당 기지국을 거쳐 가는 트래픽을 제3의 서버로 전송하는 기능이 탑재돼 있었다. 특히 단말기에서 코어망으로 이어지는 통신 과정에서 암호화가 해제되면서 ARS·SMS 결제 인증 정보뿐 아니라 이용자의 문자·음성 통화 내용까지 평문 상태로 유출될 위험이 있었던 것으로 조사됐다. 일부 아이폰 16 이하 기종 등은 애초 KT가 단말–망 간 종단 간 암호화 설정을 지원하지 않아 취약점이 더 컸던 것으로 드러났다.
KT 펨토셀 관리 체계의 구조적 허점도 확인됐다. 모든 펨토셀 제품이 동일한 제조사 인증서를 사용해 이를 복사하면 정상 장비가 아니어도 KT 망 접속이 가능했고, 인증서 유효기간도 10년에 달했다. KT는 타사·해외 IP 등 비정상 IP 접속을 차단하지 않았고, 펨토셀 고유번호나 설치 지역 정보가 실제 등록 정보와 일치하는지 검증하는 절차도 운영하지 않았다. 악성코드뿐 아니라 비교적 탐지가 쉬운 웹셸(web shell)조차 발견하지 못한 점 등도 종합해 조사단은 KT의 보안 점검이 전반적으로 부실했다고 판단했다.
정부는 이런 조사 결과를 바탕으로 KT에 명백한 과실이 있다고 결론 내렸다. 과기정통부는 약관상 “회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다”는 조항을 근거로 “이번 침해 사고는 ‘기타 회사의 귀책 사유’에 해당한다”며 전체 이용자를 대상으로 한 위약금 면제를 요구했다. 특히 펨토셀 취약점으로 인해 평문 문자·통화 내용이 제3자에게 노출될 수 있었던 위험은 실제 소액결제 피해자에 그치지 않고 전체 가입자가 공유한 위험으로 봐야 한다는 설명이다.
민관합동조사단은 로펌 등 5개 기관에 법률 자문을 의뢰한 결과, 4곳이 “KT가 안전한 통신서비스 제공이라는 계약상 주된 의무를 위반해 전체 이용자에 대한 위약금 면제 규정 적용이 가능하다”는 의견을 제시했다고 전했다. 나머지 1곳만 “정보 유출이 확인되지 않은 이용자에게까지 위약금 면제를 적용하기는 어렵다”는 견해를 내놓았다.
과기정통부는 KT가 SK텔레콤 사례에 준해 위약금 면제 범위를 확대할 것으로 보고 있다. 앞서 SK텔레콤은 해킹 사고 최종 조사 결과가 발표된 지난 7월 4일을 기준으로 열흘간, 사고 이후 해지한 고객을 포함한 전체 가입자를 대상으로 위약금을 면제한 바 있다. 김영섭 KT 대표는 국정감사에서 “민관합동조사단 조사 및 경찰 수사 결과를 종합적으로 고려해 전 고객 대상 위약금 면제를 검토하겠다”고 밝힌 바 있다.
정부는 재발 방지를 위한 보안 체계 개선도 강하게 요구했다. 과기정통부는 KT에 서버·네트워크 장비 등에서 발생하는 모든 활동을 감지·분석할 수 있는 EDR(엔드포인트 탐지·대응), 백신 등 보안 솔루션 도입을 확대하고, 분기별 1회 이상 모든 자산에 대한 보안 취약점 정기 점검을 실시할 것을 주문했다. 또 운영 시스템 로그를 최소 1년 이상 보관하고 중앙 로그 관리 시스템을 구축해 사이버 침해를 상시 감시하도록 했다.
아울러 KT가 서버 등 정보통신 자산의 종류·규모·운용 여부를 체계적으로 관리하지 못한 점을 지적하며 전사 정보기술(IT) 자산을 총괄하는 최고정보책임자(CIO)를 지정하고, IT 자산관리 솔루션을 도입하라고 요구했다. 과기정통부는 KT에 내년 1월까지 재발 방지 이행 계획을 제출하도록 하고, 6월까지 이행 여부를 점검할 계획이다.
