KT, 개인정보 유출에 ‘서버 해킹’ 정황…사태 복잡해진다

[이데일리 권하영 기자] KT(030200) 개인정보 유출 사고에서 서버 해킹 정황이 새롭게 포착되면서 사건의 양상이 복잡해지고 있다. 당초 ‘펨토셀’이라 불리는 불법 초소형 기지국을 활용한 이례적인 보안 사고로 알려졌지만, 조사가 진행될수록 전문가들은 앞서 발생한 SK텔레콤(017670)·롯데카드 사태와 유사한 서버 침해 가능성을 크게 주목하고 있다.

[이데일리 방인권 기자] KT 가입자들의 집단 소액결제 피해가 발생한 것으로 알려진 가운데 9일 서울의 한 KT플라자 앞을 지나고 있다.

22일 당국과 업계에 따르면 KT는 이달 15일까지 4개월간 자사 서버를 전수조사한 결과 윈도 서버 침투와 민감 정보 탈취 등 서버 침해 흔적과 의심 정황을 발견했다. 현재 KT의 신고를 접수받은 한국인터넷진흥원(KISA)이 포렌식을 통해 구체적인 내용을 조사 중인 상황이다.

최근 이용자들의 무단 소액결제 피해가 발생한 KT는 지난 10일 1차 브리핑에서 불법 기지국 신호를 수신한 고객 약 1만9000명 중 5561명의 ‘가입자식별정보(IMSI)’가 유출됐을 가능성을 제기했으나, 이후 18일 2차 브리핑에서는 불법 기지국 신호 수신 고객 2만30명이 IMSI뿐만 아니라 ‘단말기식별번호(IMEI)’와 ‘휴대폰번호’까지 유출됐을 가능성을 인정했다.

당시 KT는 IMSI·IMEI·휴대폰번호 유출 외에 내부 서버에 담긴 개인정보와 복제폰 생성이 가능한 인증키 유출 가능성에 대해서는 선을 그었으나, 추가 조사 결과에 따라 서버 침해 정황이 새롭게 나오면서 현재로선 어느 것도 장담할 수 없게 됐다.

말 바뀐 KT, 서버 해킹 가능성…유출 경로 혼란 가중

보안 업계에선 앞선 SK텔레콤과 롯데카드 사태와 마찬가지로 KT 역시 내부 서버 해킹이 대규모 개인정보 유출로 이어졌을 확률을 전보다 높게 점치고 있다.

당초 무단 소액결제가 이뤄지려면 불법 기지국 신호로 인증 절차를 가로채는 일뿐만 아니라 실제 인증을 완료하기 위한 이름·생년월일·휴대폰번호 등의 개인정보가 반드시 필요한데, 이 정보는 불법 기지국 접속만으로는 탈취하기 어렵다는 것이 이미 전문가들의 중론이었다. KT는 그동안 내부 해킹 가능성을 부인해왔으나, 이미 서버에 저장된 유심 정보와 개인정보의 유출 정황이 드러난 터라 가능성이 상당히 높아졌다는 전언이다.

박춘식 아주대 사이버보안학과 교수는 “현 시점에서 무단 소액결제가 가능할 수 있는 시나리오는 결국 펨토셀을 통해 코어망에 접속해 해킹을 했거나, 이미 또 다른 경로로 유출된 정보를 조합했거나, 인증키까지 유출돼 복제폰 생성으로 소액결제를 한 것”이라고 분석하며, 특히 “IMSI·IMEI·휴대폰번호·인증키 중 벌써 3개가 유출된 상황인데, 범인이 그중에서 유독 인증키만 탈취하지 못했을 리가 없다”고 지적했다.

SKT·롯데카드도 서버 해킹이 원인…서버 종류가 관건

실제 KT가 제출한 신고서를 보면 서버 침해 흔적은 △윈도 서버 침투 후 측면 이동 시도 △스모민루봇(악성코드 일종) 감염 △비주얼베이직스크립트 기반 원격코드 실행 및 민감정보 탈취 △메타스플로잇(취약점 식별도구)을 통한 SMB(공유 메시지) 인증 시도 및 측면 이동 성공 등 4건, 의심 정황은 △리눅스 싱크 계정 조작 및 SSH 퍼블릭키 생성 △알서포트 서버 의심 계정 생성 및 비밀키 유출 등 2건으로 요약된다.

보안업계에 따르면 이는 쉽게 말해 해커가 시스템 인증을 우회하고 원격 조종을 하기 위한 전형적인 단계적 접근 방식으로 보인다. 단일 시스템에 우선적으로 침투해 악성봇 감염과 원격 코드를 심고 이를 다른 시스템으로 확산시켜 추가 침투를 노렸을 가능성이 크다. 다만 업계 관계자는 “신고서 자체는 ‘이런 해킹 흔적이 있다’ 정도일 뿐 어떤 정보 유출인지는 알 수 없어 추가 조사 결과를 봐야 한다”고 부연했다.

중요한 것은 어떤 서버에 해킹이 시도됐고, 어떤 정보가 탈취됐는지다. 만약 유심키가 저장된 중앙 서버인 홈가입자서버(HSS)가 침투됐다면, 앞선 SK텔레콤과 상당히 유사한 사례가 된다. 지난 4월 약 2700만명 고객의 개인정보 유출 사고가 벌어진 SK텔레콤의 경우, 해커가 관리 부실 서버 1대를 먼저 감염시켜 시스템 관리망의 서버를 추가 감염시키는 방식으로 HSS에 ‘BPF도어’라는 악성코드를 심고 9.7기가바이트(GB) 분량의 정보를 빼갔다.

최근 200기가바이트(GB) 분량의 고객 신용정보가 유출된 롯데카드 역시 서버 해킹 가능성이 유력한데, 당국과 업체의 조사 결과에 따르면 온라인 결제 서버(WAS)가 주요 침투 대상이었다. 해커는 롯데카드가 오라클 서버 보안 업데이트를 일부 누락한 지점을 공략해 원격으로 서버를 조종할 수 있는 악성 프로그램인 ‘웹셸’을 설치하는 수법으로 서버에 저장된 정보를 빼돌린 것으로 추정되고 있다.

현재로서 사태의 향방은 민관 합동 조사단의 조사 결과에 달린 상황이다. 류제명 과학기술정보통신부 제2차관은 19일 정부 합동브리핑에서 “더 이상 불법 기지국 아이디가 발견될 가능성은 없어 보인다”면서도 복제폰 가능성에 대해서는 “조사 내용에 대해 구체적으로 확인해드리기 어렵다”고 밝혔다. 이동근 한국인터넷진흥원(KISA) 본부장 역시 “어떤 서버에서 침해 흔적이 발견됐는지는 세부적인 분석을 해봐야 한다”고 전했다.