KT가 지난해 악성코드 감염 사실을 파악하고도 이를 정부에 신고하지 않고 은폐한 정황이 드러났다. 또 최근 무단 소액결제 사태의 배경으로 지목된 펨토셀(초소형 기지국) 관리 체계 역시 전반적으로 허술했던 것으로 밝혀졌다.

과학기술정보통신부와 민간 전문가 등으로 구성된 민관합동조사단은 6일 정부서울청사에서 KT 침해사고에 대한 중간 조사 결과를 발표했다.

조사단은 불법 펨토셀을 통한 소액결제 및 개인정보 유출, 해킹 매거진 ‘프랙’이 제기한 인증서 유출 정황, 내부 서버 악성코드 감염 등을 집중 조사했다.

조사에 따르면 KT는 지난해 3월부터 7월 사이 ‘BPF도어’와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 신고 없이 내부 조치에 그쳤다.

일부 서버에는 가입자의 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등이 저장돼 있었다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다.

펨토셀 관리 구조의 보안 취약점도 심각했다. 모든 펨토셀이 동일한 인증서를 사용해 이를 복사하면 불법 펨토셀도 KT 내부망에 접속할 수 있었다. 인증서 유효기간은 10년으로, 한 번 접속 이력이 있으면 계속 접근이 가능했다. 

셀 ID, 인증서, 서버 IP 등 중요 정보는 보안 체계 없이 외주사에 제공됐고, 저장 장치에서 쉽게 추출 가능했다. 접속 인증 시 비정상 IP를 차단하거나 등록 여부를 검증하는 절차도 미흡했다.

조사단은 실험 결과 불법 펨토셀을 장악한 해커가 종단 암호화를 해제할 수 있었고, 그 상태에서 ARS와 문자 인증정보 등을 암호화되지 않은 상태로 취득할 수 있었다고 밝혔다.

이름이나 생년월일 입력 없이도 결제가 통과될 수 있는 구조였다. KT는 구간 및 종단 암호화를 적용하고 있었지만 이를 우회한 침해가 가능했다.

KT는 경찰로부터 무단 소액결제 정황을 전달받은 9월 1일 이후 5일에야 차단 조치를 했고, 8일 저녁이 돼서야 당국에 침해 사실을 신고했다. 외부 보안 점검으로 9월 15일 내부 서버 침해를 확인하고도 18일 밤에야 신고한 사실도 확인됐다.

KT는 ‘프랙’ 보고서와 관련해 8월 1일 서버를 모두 폐기했다고 보고했지만 실제로는 1일, 6일, 13일 세 차례에 걸쳐 폐기했고, 백업 로그가 있었음에도 9월 18일까지 이를 보고하지 않았다. 조사단은 이를 정부 조사 방해로 판단하고 수사를 의뢰했다.

정부는 지난해 8월 1일부터 올해 9월 10일까지의 통신기록을 분석한 결과, 불법 펨토셀 ID 20개가 발견됐고 여기에 총 2만2227명이 접속한 것으로 파악했다. 무단 소액결제 피해자는 368명, 피해액은 2억4319만원이다. 통신기록이 없는 시기의 피해는 아직 파악되지 않았다.

조사단은 피해자 분석 방식 검증과 문자·음성통화 탈취 가능성에 대한 추가 조사를 진행할 계획이다. 과기정통부는 KT의 펨토셀 관리상 문제와 악성코드 은폐, 허위 보고 등 확인된 사실과 향후 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유 해당 여부를 발표할 계획이라고 밝혔다.