KT(030200) 무단 소액결제 사태를 조사해 온 정부가 KT 측의 초소형 기지국(펨토셀) 관리 부실과 통신 암호화 부실 문제로 이번 사태가 발생했다고 판단했다. 조사 시작 111일 만에 내린 결론이다. 공격자가 소액결제에 필요한 개인정보를 어떻게 확보했는지와 악성코드 감염 서버와의 연관성은 끝내 밝혀지지 않았다.

과학기술정보통신부는 29일 KT 침해 사고 민관합동조사단 조사 결과 및 위약금 면제 규정 검토 결과를 발표했다.

111일 만의 조사 결과…KT 서버 94대, 악성코드 103종 감염
조사단은 KT 전체 서버 약 3만 3000대를 대상으로 여섯 차례에 걸쳐 악성코드 감염 여부를 조사하고 감염 서버를 대상으로 포렌식 등 정밀 분석을 통해 정보 유출 등 피해 발생 여부를 파악했다.

소액결제 피해 규모는 총 368명(777건), 2억 4319만 원으로 확정됐다. 펨토셀 접속해 개인정보 유출 정황이 확인된 가입자는 2만 2227명이다. 지난 10월 17일 KT가 발표한 피해 규모 그대로다.

지난달 6일 중간 조사 결과 발표를 통해 확인된 악성코드 감염 서버는 총 94대로, BPF도어, 루트킷 등 악성코드 103종이 감염된 것으로 나타났다. KT가 지난해 3~7월 감염 서버를 발견했음에도 정부에 신고 없이 조치한 서버는 총 41대로 파악됐다.

다만 악성코드 감염 서버를 통한 개인정보 유출 여부는 확인되지 않았다. 또 시스템 로그 보관 기간이 1~2개월에 불과해 기록이 남아 있지 않은 기간의 정보 유출 여부를 확인하는 게 불가능했다고 덧붙였다.


"펨토셀 탈취 정보와 미상의 경로로 취득한 개인정보 결합"
무단 소액결제에 필요한 개인정보(성명, 생년월일, 휴대전화 번호)를 어떻게 확보했는지는 밝혀지지 않았다.

공격자는 불법 펨토셀을 이용해 피해자의 전화번호,국제이동가입자식별정보(IMSI),단말기 식별번호(IMEI) 등의 정보를 탈취해 미상의 경로로 취득한 개인정보와 결합해 피해자를 선정, 피해자의 개인정보로 상품권 구매 사이트를 접속해 상품권 구매 시도를 한 것으로 파악됐다.

또 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 조사됐다. 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 이후 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 평문의 문자, 통화 탈취가 가능했다는 얘기다.

침해 사고 신고 지연 과태료 부과…내년 6월까지 KT 점검
정부는 KT의 침해 사실 신고 지연 및 미신고를 놓고 과태료를 부과할 예정이다. 침해 사실 미신고는 정보통신망법상 3000만 원 이하 과태료 부과 대상이다.

또 조사단에 폐기 시점을 허위 제출하고, 폐기 서버 백업 로그가 있음에도 지연 보고한 것을 놓고 고의성이 있다고 봤다. 이에 지난 10월 2일 수사기관에 공무집행방해 혐의로 수사 의뢰한 상태다.

과기정통부는 이번 조사 결과를 토대로 KT에 재발방지 대책에 따른 이행 계획을 제출 내년 1월까지 제출하도록 했다. 또 내년 4월까지 KT가 이를 이행하도록 했고, 이행 여부를 6월까지 점검할 계획이다. 보완이 필요한 사항은 정보통신망법에 따라 시정조치를 명령할 계획이다. 또한, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획이다.

Ktiger@news1.kr