LG유플러스(032640)의 경우 해킹이 의심되는 서버에서 정보 유출 정황이 확인됐지만, 관련 서버를 폐기하는 등 은폐 의혹으로 경찰 수사를 받고 있다.
KT 사옥(사진=연합뉴스)
◇불법 펨토셀 침해사고…개인정보 유출·소액결제 피해 확인
KT의 경우 △불법 펨토셀로 인한 소액결제 및 개인정보 유출 △익명 제보(프랙보고서)로 제기된 인증서 유출 정황 △외부 보안 점검 과정에서 확인된 서버 침해사고 등 3건을 집중 조사했다.
조사단은 2024년 8월 1일부터 2025년 9월 10일까지 조사한 결과, 총 2만2227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호가 유출됐고, 368명이 피해를 입은 777건의 무단 소액결제가 발생해 피해 규모는 약 2억4300만 원으로 확인됐다고 밝혔다. 이는 KT가 10월 17일 발표한 수치와 일치한다. 다만 통신결제 관련 데이터가 존재하지 않는 2024년 7월 31일 이전의 추가 피해 여부는 확인할 수 없었다.
핵심 원인은 KT의 펨토셀 관리 부실이었다. 불법 펨토셀에 대한 포렌식 분석 결과, 해당 장비에는 KT망 접속에 필요한 인증서와 인증서버 IP 정보, 해당 장비를 거쳐가는 트래픽을 캡쳐해 제3의 장소로 전송하는 기능이 있었음이 확인됐다.
공격자는 불법 펨토셀에 KT 펨토셀 인증서와 인증서버 IP 주소를 복사해 KT 내부망에 접속했다. 이후 강한 전파를 방출해 이용자 단말이 불법 펨토셀에 연결되도록 유도한 뒤, IMSI·IMEI·전화번호 정보를 탈취했다. 이후 불법 펨토셀에서 탈취한 정보와 미상의 경로로 확보한 성명·생년월일·휴대전화번호 등 개인정보를 결합하고, ARS·SMS 등 결제 인증 정보는 불법 펨토셀을 통해 탈취하는 방식으로 무단 결제가 이뤄진 것으로 조사단은 판단했다.
ARS·SMS 인증 탈취는 불법 펨토셀로 인해 단말과 코어망 간 종단 암호화가 해제되면서 평문 정보가 드러나 가능했다. 또한 트래픽 저장·전송 기능이 확인됨에 따라 문자·통화 내용 탈취 역시 기술적으로 가능했으나, 실제 탈취 흔적은 확인되지 않았다.
정부는 재발 방지를 위해 KT에 △펨토셀 생산 인증서 △통신사 인증 서버 IP △셀 ID에 대한 보안 정책 마련을 요구했다. 또한 △펨토셀 시큐어 부팅 기능 구현 △인증 서버 IP 주기적 변경 △불법 펨토셀 접속 이상 징후 모니터링 및 차단 △종단 암호화 해제 방지 및 모니터링 강화 등 기술적 조치를 명령했다.
조직 체계 개편도 요구됐다. 정부는 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 체계를 개편하고, 전사 자산을 관리하는 정보기술최고책임자(CIO)를 지정하며, 정보기술 자산관리 솔루션 도입을 추진하도록 요구했다.
◇악성코드 103종 감염… 신고 누락·은폐 정황
KT에는 불법 펨토셀 침해사고 외에도 지난 8월 프랙보고서 제보를 통해 제기된 악성코드 감염 사고가 있었다. 조사단 조사 결과, 총 94대 서버에서 103종의 악성코드가 발견됐다.
특히 KT는 2024년 3월부터 7월까지 자체적으로 감염 서버를 발견했음에도 이를 정부에 신고하지 않고 삭제했다. 해당 서버는 41대였으며, BPF도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 총 26종 악성코드에 감염돼 있었다.
또한 나머지 53대 서버에서도 루트킷 39종, 백도어 36종, 디도스 공격형 악성코드 2종 등 총 77종이 확인됐다. 이는 KT가 5월 22일부터 9월 15일까지 실시한 외부 업체 보안 점검과 관련해 진행한 조사단 포렌식으로 확인된 것이다.
웹셸과 BPF도어 악성코드는 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점이 악용된 것으로 보이며, 루트킷과 백도어는 감염 당시 로그 기록이 남아 있지 않아 침투 경로 파악이 불가능했다.
일부 감염 서버에는 이름·전화번호·이메일 등 개인정보가 저장돼 있었지만, 로그가 남아 있는 기간 내에서는 정보 유출 정황이 확인되지 않았다. 다만 KT의 시스템 로그 보관 기간이 1~2개월에 불과해, 로그가 존재하지 않는 기간의 유출 여부는 확인할 수 없었다.
◇정부, 과태료·이행점검 예정…“전체 고객 위약금 면제” 판단
정부는 KT가 지난해 3월 자체적으로 악성코드를 발견하고도 신고하지 않은 점을 정보통신망법상 ‘24시간 내 침해사고 신고 의무’ 위반으로 판단해 과태료를 부과할 예정이다. 또한 서버 폐기 시점 관련 허위 제출 정황에 대해서는 위계에 의한 공무집행방해 혐의로 수사기관이 수사 중이다.
과기정통부는 KT에 내년 1월까지 재발 방지 대책 이행 계획을 제출하도록 요구하고, 4월까지 실제 이행 여부를 점검해 6월경 최종 확인할 방침이다.
또한 정부는 KT의 펨토셀 관리 부실로 인해 평문의 문자·음성 통화가 탈취될 위험성이 전체 이용자에게 발생했다고 보고, 이를 KT 이용약관상 ‘전체 이용자를 대상으로 한 위약금 면제 사유’에 해당한다고 판단했다. 이에 따라 KT는 전체 고객을 대상으로 위약금을 면제해야 한다는 것이 정부 입장이다.
◇LG유플러스도 서버 정보 유출 정황… 수사 의뢰 진행
LG유플러스의 경우 통합 서버 접근제어 솔루션(APPM)과 연결된 서버 목록, 계정 정보, 임직원 성명 등이 유출된 사실이 확인됐다. 조사단은 LG유플러스가 제출한 APPM 서버를 정밀 포렌식한 결과, 익명 제보자가 공개한 자료와 다르다는 점을 확인했다.
그러나 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 8월 1일 운영체제(OS) 업그레이드 작업이 진행돼 침해 흔적 확인이 불가능했다. 익명 제보자는 공격자가 협력사 해킹을 거쳐 LG유플러스로 침투했다고 주장했지만, 협력사 직원 노트북부터 LG유플러스 APPM 서버로 이어지는 네트워크 경로상의 핵심 서버가 8월 12일부터 9월 15일 사이 OS 재설치 또는 폐기돼 조사가 불가능했다.
정부는 이 과정이 한국인터넷진흥원(KISA)의 침해사고 정황 안내 이후 이뤄졌다는 점을 고려해 위계에 의한 공무집행방해 혐의로 지난 9일 경찰에 수사를 의뢰했다.
배경훈 부총리는 “이번 KT·LG유플러스 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했다.
