과기부 중간 조사 결과…엄중 조치 예고
[SRT(에스알 타임스) 방석현 기자] KT가 지난해 BPF도어라는 은닉성 강한 악성 코드에 서버가 대량 감염됐음에도 불구하고 당국에 신고하지 않고 은폐한 것으로 파악됐다. BPF도어는 올해 초 불거진 SK텔레콤 해킹 사례에서도 큰 피해를 준 악성 코드다. KT가 감염 사실을 은폐하며 SKT 사태 이후 당국이 해당 악성코드 감염 여부에 대해 업계를 전수조사한 과정에서도 해킹 사실이 발견되지 않은 것으로 뒤늦게 드러났다.
KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 정부서울청사에서 중간 조사 결과 브리핑을 통해 이같이 밝혔다. 과학기술정보통신부는 국민 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 9월 9일부터 조사단을 구성해 운영하고 있다.
이번 중간 조사는 ▲불법 소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출사고 ▲국가배후 조직에 의한 KT 인증서 유출 정황 ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고 원인 분석 결과다.
조사단은 서버 디지털 증거 수집(포렌식) 및 분석 등을 통해 과거 KT에 BPF도어 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. KT는 2024년 3~7월 동안 BPF도어, 웹셸 등 악성코드 감염서버(43대)를 발견해 정부에 신고 없이 자체적으로 조치하고, 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있음을 조사단에 보고했다. 조사단은 이 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획이다.
이번 소액 결제 피해에서도 KT는 9월 1일에 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 유형(패턴)을 발견해 5일 차단 조치했음에도, 불법 소형기지국(펨토셀) 계정(ID)의 존재를 확인한 후인 8일에야 침해사고를 지연 신고했다.
과기부는 무단 소액결제 사고의 한 원인으로 꼽힌 KT의 펨토셀 관리 문제점, 해킹 은폐 의혹과 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다.
다만, SKT처럼 가입자 핵심 정보가 저장된 HSS 서버가 피해 대상에 포함됐는지나 개인정보 유출 규모, SKT 공격자와 동일 여부 등에 대해서는 아직 파악되지 않았다.
최우혁 조사단장은 "BPF도어가 모두 지워진 상태여서 SKT 해킹 이후 당국의 전수 조사에서 나타나지 않았지만, 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다"며 "서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사 중"이라고 말했다.
그는 "아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다"면서도 "이번에 여러 가지 추가 사고 건들이 발견돼서 관련성이 있는지 면밀하게 살펴볼 예정"이라고 덧붙였다.