KT가 펨토셀 관련 서버에서 악성코드를 발견하고도 은폐한 사실이 뒤늦게 드러났다. 민관합동조사단은 KT 침해사고 조사 과정에서 지난해 악성코드 침해사고 발생 사실을 비롯해 펨토셀 관리 및 내부망 접속 인증 과정의 취약점을 발견했다고 6일 밝혔다.
이날 최우혁 과학기술정보통신부 네트워크정책실장은 정부서울청사에서 열린 ‘KT 침해사고 중간결과 발표’ 브리핑에서 “서버 포렌식 분석 등을 통해 과거 KT에 BPF도어 등 악성코드 침해사고가 발생했으며 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다”고 말했다. 이는 정보통신망법상 3000만원 이하의 과태료 부과 대상이다.
KT는 지난해 3월에서 7월 사이에 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했지만 정부에 신고 없이 자체적으로 조치했다고 조사단에 보고했다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장되어 있었다.
이 같은 사실은 BPF도어를 검출하는 백신을 돌린 흔적을 조사단이 발견한 뒤 관련 자료를 요구하면서 새롭게 확인됐다. KT가 자발적으로 알린 게 아닌 조사단이 찾아낸 만큼 명백한 은폐 행위라는 지적도 나온다. 최 실장은 “악성코드 감염 서버는 펨토셀 관련한 서버”라며 “BPF도어는 이미 다 지워진 상태였다”고 설명했다.
조사단은 무단 소액결제 사고 관련해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었다. 특히 인증서의 유효기간이 10년이라 KT망 접속 이력이 한 번이라도 있다면 지속적으로 KT망에 접속할 수 있다는 문제점이 발견됐다.
또한 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했으며 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출하는 것이 가능했다. KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지도 검증하지 않았다.
조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 불법 펨토셀이 ARS, SMS 등의 인증 정보를 평문으로 취득할 수 있었던 것으로 판단했다. 종단 암호화가 해제됐을 때 NW 구간에서 평문으로 데이터가 전송되는 사실을 확인했기 때문이다.
조사단은 5일 KT에 펨토셀 제품별 별도 인증서 발급을 조치하도록 요구했으며 앞서 △펨토셀이 발급받은 통신사 인증서 유효기간을 10년에서 1개월로 단축 △펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 △펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 등을 취하도록 했다. 조사단은 불법 펨토셀을 통해 결제 인증 정보뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해 전문가 자문 및 추가 실험 등을 통해 조사할 계획이다.
최 실장은 “과기정통부는 KT의 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민들에게 투명하게 공개하겠다”며 “KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표하겠다”고 말했다.
![겨울 연금송 올해도…첫눈·크리스마스니까·미리 메리 크리스마스 [해시태그]](https://img.etoday.co.kr/crop/320/200/2264546.jpg)
