올해 대규모 고객 무단 소액결제 사태를 겪은 KT(030200)가 초소형 기지국(펨토셀) 통신 및 암호화 체계를 소홀히 관리해 온 것으로 정부 조사 결과 드러났다.

회사는 공격자가 불법 펨토셀을 통해 내부망에 침투하는 것을 허용했으며, 전 구간 적용됐어야 할 종단 암호화도 사수하지 못했다. 모든 고객의 문자·통화가 평문 형태로 탈취·도청될 수 있는 상황이었단 의미다.

민관합동조사단을 꾸린 과학기술정보통신부는 회사의 귀책 사유가 크다고 판단, 전체 고객을 대상으로 위약금을 면제하라고 권고했다.

또 정부는 KT 전체 서버 약 3만 3000대를 대상으로 악성코드 감염 여부를 조사했으며, 감염 서버는 포렌식 등 정밀 분석을 했다.

그 결과 총 94대의 서버가 BPF도어, 루트킷 등 악성코드 103종에 감염된 것으로 확인됐다. 다만 소액결제에 필요한 고객 개인정보가 악성코드 감염으로 유출됐는지는 확인되지 못했다.

다음은 29일 과기정통부 및 민관합동조사단 관계자와의 일문일답.

-KT 서버 최초 공격 시점이 2022년 4월이고, 올해 유심 대란을 일으킨 SK텔레콤(017670)의 해킹 시점이 2021년이다. 시기상 큰 차이가 없어 같은 공격자 소행인지 의심된다.
▶SKT의 경우 BPF도어가 세 가지 유형이 발견됐으며, KT에서도 비슷한 유형이 확인된다. 다만 같은 공격으로 판단하기엔 정보가 부족하고, IP 등 여러 가지 연관성 분석이 필요해서 동일한 공격자로 결론을 내기는 어렵다.

-소액결제에 필요한 개인정보 유출 경로는 확인되지 못했다. KT가 폐기한 서버에서 피의자가 정보를 획득했을 가능성은 없나.
▶개인정보 유출 경로나 방식은 현재의 민관합동 조사단만의 조사로는 분석에 한계가 있다. 관련해서 보다 심층적으로 들여다보는 것은 개인정보보호위원회의 영역이다. 개보위의 추가적인 조치를 살펴봐야 한다.

-일반적으로 종단 간 암호화가 펨토셀 환경에서는 해제가 어렵다고 들었다. (소액결제에 필요한) ARS 인증 같은 경우 종단 암호화도 해제하고 음성 통화도 가로채서 단말기에서 인증번호 입력까지 해야 한다. 펨토셀 환경에서 어떻게 이게 가능했는지.
▶지적한 대로 종단 간 암호화가 완료된 상태에서 해제하는 것은 기술적으로 굉장히 어렵다. 거의 불가능에 가깝다고 봐도 된다. 그런데 해커는 연결된 상태를 해제하는 것이 아니라, 최초의 종단 간 암호를 설정하기 위해 서버와 단말(클라이언트)이 통신하는 과정을 노렸다. 이 과정을 중간에서 방해하면 암호 없이도 연결된다는 허점을 알고 범행에 활용했다.

-BPF도어 악성코드 공격의 배후로 중국 정부가 있을 가능성은.
▶글로벌 보안 커뮤니티에서 지적한 대로 분석하고 있지만, (BPF도어 등 공격은) 현재 오픈소스 형태로 유통되는 중이다. 따라서 특정 국가 배후를 의심하거나, 공격자를 단정하긴 어렵다.

-KT도 SKT 유심사태 때처럼 영업정지 등 조치를 해야 하는지.
▶SKT에 신규 영업 정지 등 행정지도를 한 이유는 당시 가입자 대상 대규모 유심 교체가 필요했기 때문이다. 기존 가입자 애로사항이 해소되기 전까지 신규 가입에 유심을 투입하지 말라는 취지였다. KT 사태는 유심 교체 행정지도가 필요한 상황은 아니라고 판단되며, 동일 조치를 취할 필요는 없다. 정부가 징벌적 차원에서 신규 영업을 중단시키는 것은 아니다.

legomaster@news1.kr