서버 해킹 알고도 신고 안한 KT…펨토셀 관리도 '총체적 부실'(종합)

과기정통부, 민관합동조사단 중간 조사결과 발표
KT 노린 'BPF도어' 감염 알고도 미신고…정부 "엄중 조치"

KT 침해사고 조사 중간결과 발표/그래픽=윤선정

KT 무단 소액결제 및 개인정보 유출 사고에 대한 과학기술정보통신부 민관합동조사단 조사 결과 펨토셀 관리부터 내부망 인증까지 총체적 부실이 드러났다. 불법 펨토셀에 접속 기록이 없는 데도 소액결제가 이뤄진 피해자도 나와 추가 피해 가능성도 제기된다.

또 KT는 해킹 주요 원인인 BPF도어·웹셸 등 악성코드에 감염된 사실을 확인하고도 정부에 신고하지 않고 자체 처리하는 등 고의 은폐 정황도 잇따랐다. 앞서 KT는 미국 보안전문지 '프랙'이 해킹 의혹을 제기한 서버를 보관하면서도 정부에 '폐기했다'고 허위 보고해 과학기술정보통신부가 경찰에 수사를 의뢰한 바 있다.

과기정통부 민관합동조사단은 6일 정부서울청사에서 KT 침해사고에 대한 중간조사 결과를 이같이 발표했다.

앞서 KT는 지난해 8월1일~올해 9월10일 모든 기지국 접속 이력 약 4조300억건과 전 가입자의 결제건수 1억5000건을 분석한 결과, 불법 펨토셀 20개에 접속한 2만2227명의 유심 정보(IMSI·IMEI·전화번호)가 유출됐고 368명이 2억4319만원의 소액결제 피해를 봤다고 밝혔다. 다행히 유심 인증키는 유출되지 않아 복제폰 가능성은 없다는 입장이다.

다만 지난해 8월 이전은 통신기록이 없어 피해 확인이 불가한 데다, 불법 펨토셀 접속 기록이 없는데도 소액결제가 발생한 사례가 나와 피해 확산 가능성도 배제할 수 없다. 최우혁 과기정통부 네트워크정책실장은 "KT의 피해자 분석방식을 검증하고 누락된 피해자 존재 여부를 확인한 후 최종 피해규모를 발표하겠다"고 말했다.

━

펨토셀 비밀번호 10년간 동일…소액결제 방법은 '미궁'
━

(서울=뉴스1) 임세영 기자 = 최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 2025.11.6/뉴스1 Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지. /사진=(서울=뉴스1) 임세영 기자

KT 펨토셀 관리 체계는 전반적으로 부실한 것으로 나타났다. KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용해 이를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 인증서 유효기간도 10년이어서 한 번이라도 KT망에 접속한 이력이 있다면 언제든 재접속이 가능했다. 내부망에서 펨토셀 접속을 인증할 때도 비정상 IP(인터넷프로토콜)를 차단하지 않고 제품 고유정보 등이 KT망에 등록된 정보인지도 검증하지 않았다.

펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 외주 제작사에 제공하고, 펨토셀 저장 장치에서 이를 추출하는 것도 쉬웠다. 불법 펨토셀이 언제든 KT망에 접속 가능했던 셈이다.

해커가 불법 펨토셀로 어떻게 소액결제를 했는지는 여전히 미궁이다. 조사단에 따르면 해커는 불법 펨토셀을 통해 휴대폰과 코어망 간 종단 암호화를 해제할 수 있는 것으로 나타났다. 이를 통해 자동응답전화(ARS)·문자메시지서비스(SMS)의 인증정보를 평문으로 취득할 수 있었다는 설명이다. 이동근 KISA 디지털위협대응본부장은 "종단 간 암호가 해제되는 경우는 굉장히 이례적인 케이스"라고 말했다.

다만 소액결제를 하려면 성명·성별·생년월일 등 추가 개인정보가 필요한데, 이를 어떻게 확보했는지는 여전히 미궁이다.

━

KT BPF도어 없다더니…SKT보다 많은 43대 감염
━
더 큰 문제는 KT가 고의로 사건을 은폐·축소하려는 정황이 잇따라 발견된 것이다.

조사단은 서버 포렌식 중 KT가 악성코드를 삭제한 흔적을 발견하고 설명을 요청하자, 뒤늦게 지난해 3~7월 BPF도어·웹셀 등에 감염된 서버 43대를 자체 조치했다고 밝혔다. 해당 서버엔 성명, 전화번호, 이메일주소, IMEI 등 개인정보가 저장된 것으로 나타났다. SK텔레콤 해킹 사태 당시 악성코드 감염 서버가 28대였음을 고려하면 43대가 감염된 KT의 개인정보 유출 규모가 확대될 가능성도 배제할 순 없다.

KT는 지난해 BPF도어에 감염됐는데도 정부에 신고하지 않았다가, 올해 4월 SKT 해킹 사태가 터지자 보안 마케팅으로 반사이익을 본 셈이다. 지난 5월 과기정통부가 KT, LG유플러스와 4개 플랫폼사를 대상으로 BFP도어에 대한 전방위 점검을 벌일 때도 KT는 "이상 없다"고 보고했다. 최 실장은 "악성코드 감염 서버가 더 확대될 가능성도 열려 있다"며 "사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 것"이라고 말했다.

이 외에도 KT는 무단 소액결제와 관련해 이상 호 패턴(비정상적 접속)을 발견하고도 3일 뒤에야 침해 신고를 했고, 외부업체 보안점검 결과 내부 서버에 대한 침해 흔적이 나왔는 데도 3일 뒤에야 침해 신고한 것으로 나타났다. 또 프랙 보고서에 언급된 서버 8대 중 2대를 보유하고 있었음에도 폐기했다고 허위 보고하고, 백업 로그도 뒤늦게 공개했다. 과기정통부는 형법 제137조 위계에 의한 공무집행방해로 경찰에 수사를 의뢰했다.

━
"민관합동조사단 최종 결론 후 위약금 면제 여부 발표"
━
KT는 전날 오전 9시부터 전 가입자를 대상으로 유심 무상 교체를 시행중이다. 그러나 이에 대한 문자 고지가 없어 직접적인 피해자 외 일반 가입자는 유심 교체 소식도 모르는 상황이다.

이에 대해 과기정통부는 "청구서 주소 기준으로 전날부터 유심 교체가 시행된 서울 8개구, 경기 9개시, 인천지역 가입자에게 문자고지를 하도록 할 것"이라며 "KT가 유심 교체 물량으로 신규영업을 하는 등 부도덕한 행위를 한다면 신규영업정지 등 행정지도를 내릴 것"이라고 말했다.

더불어 과기정통부는 민관합동조사단의 최종 조사결과를 참고해 이용약관상 위약금 면제 사유에 해당하는지 검토한다는 입장이다.

한편 프랙이 해킹 의혹을 제기한 LG유플러스에도 의혹의 눈초리가 쏟아진다. LG유플러스는 최근 KISA에 신고하면서도 "침해사고 발생 여부는 확인되지 않았다"고 밝혔다. 앞서 과기정통부의 BPF도어 점검 때도 해킹 정황이 없다고 보고했는데, KT처럼 뒤늦게 관련 사실이 드러나는 것 아니냐는 지적이다. 최 실장은 "LG유플러스도 정밀하게 보고 있다"고 답했다.

윤지혜 기자 yoonjie@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.