KT, 서버 악성코드 감염 '1년 넘게 은폐' 파문…"누가 지시했나" 경찰 수사 의뢰

소액결제 해킹 사고를 촉발한 KT가 지난해에 BPF도어(BPFDoor)라는 은닉성이 강한 악성코드에 서버가 대량 감염된 사실을 자체 파악하고도 1년이 넘게 당국에 신고하지 않고 은폐한 것으로 확인돼 파문이 예상된다. BPF도어는 올해 상반기 SK텔레콤 해킹 사태 당시 발견된 은닉성이 강한 악성코드 방식이다.

6일 KT 해킹 사고에 대한 민관합동조사단의 중간 결과 발표에 따르면, KT는 지난해 3∼7월 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 알리지 않고 '자체 처리'했다. 일부 감염 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 정보가 저장된 것으로 확인됐다.

당초 한국인터넷진흥원(KISA) 등은 KT 서버 침해 흔적이 있긴 하지만 BPF도어 방식은 아니라고 설명해 왔는데, 불과 한달여 만에 입장이 바뀌었다. 정부는 추가적인 포렌식 조사 등을 통해 BPF도어 등 감염 서버에서 개인정보가 얼마나 유출됐는지 등을 확인한다는 방침이다.

이날 브리핑을 진행한 최우혁 과기정통부 네트워크정책실장에 따르면 악성코드 감염서버는 KT가 자체적으로 밝혀낸 것이 아니라 조사단의 포렌식 과정에서 발견됐다.

다만 KT 서버에서 BPF도어 등 악성코드 자체가 발견된 것은 아니다. BPF도어는 지워져 있었으나 BPF도어 검출 스크립트, 즉 일종의 백신을 돌린 흔적을 조사단이 발견했다. 백신 흔적을 발견한 조사단이 KT에 구체적인 상황 설명을 요구하자 관련 자료가 추가적으로 확인된 것이다.

이에 대해 최 실장은 "포렌식 과정에서 BPF도어 흔적이 발견됐는데, 지금 상태에서는 서버 포렌식 등을 다 해봐야 하고 추가적인 조사가 필요한 상황"이라며 "현재 확인된 서버 43대 등에 대한 조사를 진행하고 다 분석이 이뤄진 뒤 최종 결과 등을 보고드릴 수 있을 것"이라고 밝혔다.

그는 "아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다"면서도 "이번에 여러 가지 추가 사고 건들이 발견돼서 관련성이 있는지 면밀하게 살펴볼 예정"이라고 덧붙였다.

조사단은 KT가 지난해 해킹 사실을 발견하고도 당국에 알리지 않고 은폐한 정황에 대해 "엄중히 보고 있다"며 "사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 밝혔다.

정부가 KT에도 SK텔레콤에 권고했던 위약금 면제 조치를 요구할 가능성도 제기된다. 과기정통부는 KT의 펨토셀 관리 부실, 침해 사실 은폐, 피해 정도 등과 관련한 조사 결과를 종합해 법률 자문을 거쳐 위약금 면제 사유에 해당하는지 발표하겠다고 밝혔다.

행정지도도 불가피한 상황이다. KT는 무단 소액결제 관련 해킹 사실, 악성코드 감염 사실 등을 지연 신고했다. 정보통신망법상 침해사고 신고 지연·미신고는 3000만원 이하 과태료 대상이다.

특히 조사단은 KT가 미국의 보안 전문 매체 프랙 등에서 서버 해킹 가능성을 경고한 뒤 서버를 폐기했다는 의혹에 대해 공무를 방해할 목적으로 가짜 사실(위계)을 쓴 형법상 '위계에 의한 공무집행방해' 혐의로 경찰에 수사를 의뢰했다.

◆ KT, 펨토셀 관리 부실 확인

조사단은 KT의 펨토셀 관리 체계가 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있었다는 사실을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 또 KT 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망 접속 이력이 있는 펨토셀은 지속해서 KT망에 접근할 수 있는 문제점이 발견됐다.

펨토셀 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안 체계 없이 펨토셀 제작 외주사에 제공했다. 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능했다. KT는 펨토셀 접속 인증 과정에서 비정상 IP 차단 및 검증 절차가 부실했던 것으로 나타났다.

소액결제 인증 정보가 펨토셀을 통해 탈취됐을 가능성도 확인됐다. 조사단은 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 이후 불법 펨토셀이 인증 정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.

◆  KT "침해 지연 신고 사실에 송구"

KT는 이날 입장문을 통해 무단 소액 결제 피해·침해 사고에 대한 정부 조사에 성실히 협조하며 네트워크 안전 확보와 고객 보호조치에 총력을 다하겠다고 밝혔다.

KT는 "민관합동조사단의 중간 조사 결과를 엄중하게 받아들이며, 악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다"고 말했다. 그러면서 "정부 합동조사단과 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다할 방침"이라고 덧붙였다.

KT는 "고객 신뢰 회복과 재발 방지를 최우선 과제로 삼고, 모든 고객 보호 프로세스와 네트워크 관리 체계를 전면 재점검해왔다"며 "펨토셀의 제작부터 납품, 설치, 미사용 장비의 차단과 회수, 폐기에 이르기까지 전 과정에 걸친 펨토셀 관리 체계를 대폭 강화했다"고 전했다. 또 현재 불법 장비 사용을 방지하기 위해 소프트웨어 위변조 감지 기능을 적용하고, 모든 데이터를 통합 관제 체계에서 관리하고 있다고 덧붙였다.

마지막으로 KT는 "고객들에게 큰 불편과 우려를 끼친 점에 대해 거듭 사과하며, 통신 인프라 전반을 근본적으로 재점검하고, 고객이 신뢰할 수 있는 안전한 네트워크 환경을 만들기 위해 끝까지 책임을 다하겠다"고 강조했다.

이번 사태와 관련해 KT새노조는 입장문을 통해 "즉각적인 검찰 수사 착수가 필요하고, 은폐를 누가 지시했는지 전면 조사해 엄충한 처벌을 받게 해야 한다"며 "KT는 외부 독립기구가 참여하는 재발방지 대책을 공개하라"고 목소리를 높였다.