[SWTV 강철 기자] KT가 지난해 BPF도어(BPFDoor)라는 악성 코드에 서버가 대량 감염된 사실을 알고도 이같은 사실을 당국에 신고하지 않고 은폐한 것으로 파악됐다. BPF도어는 올해 초 불거진 SKT 해킹 사건에서 큰 피해를 준 악성 코드다. 
 
KT는 그러나 감염 사실을 은폐하며 SKT 사태 이후 당국이 해당 악성코드 감염 여부에 대해 업계를 전수조사한 과정에서도 해킹 사실이 발견되지 않은 것으로 뒤늦게 드러났다.
 

▲ 6일 서울 종로구 정부서울청사에서 최우혁 과학기술정보통신부 네트워크정책실장이 KT 침해사고 중간 조사 결과를 발표하고 있다. [사진=연합뉴스]
 
KT 해킹사고를 조사 중인 민관합동조사단은 6일 정부서울청사에서 중간 조사 결과에 대한 브리핑을 통해 이같이 밝혔다.
 
과학기술정보통신부는 무단 소액결제 사고의 한 원인으로 꼽힌 KT의 펨토셀 관리 문제점과 해킹 은폐 의혹과 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다.
 
조사단은 서버 포렌식 분석 등을 통해 KT가 지난해 3∼7월 BPF도어와 웹셸 등 악성 코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않고 자체 조치한 사실을 밝혀냈다.
 
감염된 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 가입자 개인정보가 저장된 것으로 알려졌다. 다만, 가입자 핵심 정보가 저장된 HSS 서버가 피해 대상에 포함됐는 지와 개인정보 유출 규모, SKT 공격자와 동일 여부 등에 대해서는 아직 파악되지 않았다.
 
최우혁 조사단장은 “BPF도어(흔적)가 모두 지워진 상태여서 SKT 해킹 이후 당국의 전수 조사에서 나타나지 않았지만, 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다”며 “서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위와 규모 등을 추가로 조사해야 한다”라고 말했다.
 
조사단은 또 KT가 지난해 해킹 사실을 알고도 당국에 신고하지 않은 정황에 대해 “엄중히 보고 있고, 사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 계획이다”라고 밝혔다.
 
조사단은 KT가 미국의 보안 전문 매체 프랙 등에서 서버 해킹 가능성을 경고한 뒤 서버를 폐기했다는 의혹에 대해 공무를 방해할 목적으로 가짜 사실(위계)을 쓴 형법상 ‘위계에 의한 공무집행방해’ 혐의로 경찰에 수사를 의뢰했다.
 
또 불법 펨토셀에 의한 소액결제 및 개인정보 유출과 관련해 초소형 기지국(펨토셀) 운영 및 내부망 접속 과정에서 보안 문제점을 확인했다.
 
그 결과 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었고, 인증서 유효기간도 10년으로 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속 접속이 가능하다는 점을 밝혀냈다.
 
특히 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출할 수 있었다.
 
KT는 또 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않은 것으로 드러났다.
 
이외에도 KT가 단말과 기지국간, 단말과 코어망간 종단 암호화를 하고 있었지만, 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었던 점도 파악됐다. 
 
조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자와 음성통화 탈취가 가능했는 지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사한다는 방침이다.
 
이와 관련 과기정통부는 “KT 유심 교체 과정에서 SKT 사태 때와 마찬가지로 수급 대란 등이 벌어질 경우 영업중단 조치를 검토할 것이다”라고 말했다.

[ⓒ SWTV. 무단전재-재배포 금지]