KT, 작년 BPF도어 감염 알고도 은폐... 펨토셀 보안 '총체적 부실'

KT가 무단 소액결제 사태의 원인이 된 펨토셀(초소형 기지국) 보안 관리 부실뿐 아니라 지난해 심각한 악성코드에 감염된 사실을 파악하고도 당국에 신고하지 않고 은폐한 것으로 드러났다. KT는 재발방지를 약속했다.

민관 합동 조사단(이하 조사단)이 6일 정부서울청사에서 발표한 KT 침해 사고 중간 조사 결과에 따르면, KT는 지난해 3월부터 7월 사이 'BPF도어(BPFDoor)' 등 악성코드에 서버 43대가 감염된 사실을 자체 파악하고도 당국에 신고하지 않은체 자체 조치했다. 

BPF도어는 올해 초 SKT 해킹 사태에서도 큰 피해를 준 은닉성이 강한 악성코드다.

KT가 이 사실을 은폐하면서 SKT 사태 이후 당국이 실시한 업계 전수조사 과정에서도 해당 감염 사실은 발견되지 않았다. 그리고 KT는 조사단에 이 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다고 보고했다. 

침해 사실 미신고는 정보통신망법상 과태료 부과 대상이다. 조사단은 "사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝혀 관계기관에 합당한 조치를 요청할 것"이라고 밝혔다.

무단 소액결제 사고의 원인이 된 펨토셀 관리에도 총체적 부실이 확인됐다.

조사단은 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해, 인증서 복사 시 불법 펨토셀도 KT망에 접속할 수 있었다고 밝혔다. 또한 인증서 유효기간이 10년으로 설정돼 한 번이라도 망에 접속한 이력이 있으면 지속적인 접근이 가능했다.

심지어 펨토셀에 탑재되는 셀 ID, 인증서, 서버 IP 등 중요 정보가 보안 관리 체계 없이 제작 외주사에 제공됐으며, 펨토셀 저장 장치에서 해당 정보를 쉽게 추출할 수 있었던 것으로 드러났다. KT는 또 내부망 접속 인증 과정에서 타사나 해외 IP 등 비정상 IP를 차단하지 않는 등 검증 절차도 부실했다.

조사단은 불법 펨토셀을 장악한 공격자가 단말과 기지국 간 종단 암호화를 해제할 수 있었으며 이 경우 ARS나 SMS 등 결제 인증정보를 평문으로 탈취할 수 있었던 것으로 판단했다. 현재까지 파악된 피해 규모는 368명, 2억 4319만 원으로, 조사단은 누락된 피해자 존재 여부를 재점검할 방침이어서 피해 규모는 더 커질 수 있다.

한편 KT는 이날 입장문을 내고 "민관합동조사단의 중간 조사 결과를 엄중하게 받아들인다"며 "악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것과 무단 소액결제 관련 침해 사고 지연 신고 등에 대해 송구하다"고 밝혔다.

KT는 고객 신뢰 회복을 위해 펨토셀 관리 체계를 전면 강화했다고 설명했다. 모든 펨토셀의 인증서를 폐기 후 새로 발급하고 인증 절차를 강화했으며, 소프트웨어 위변조를 감지하는 '시큐어 부트(Secure Boot)' 기능을 적용하고 미사용 장비 연동을 차단하는 등 취약점을 개선했다고 강조했다.

아울러 "이상 징후 즉시 탐지 및 사전 차단 대응 체계를 가동 중"이라며 "통신 인프라 전반을 근본적으로 재점검해 안전한 네트워크 환경을 만들기 위해 끝까지 책임을 다하겠다"고 덧붙였다.

과학기술정보통신부는 "KT의 펨토셀 관리 문제점, 과거 악성코드 발견 은폐 등 확인된 사실관계를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 밝혔다.