KT의 해킹 은폐 의혹이 사실로 드러났다. 무단 소액결제 및 불법 소형 기지국(펨토셀) 접속은 '빙산의 일각'이었다.

KT가 SK텔레콤이 올해 4월 발견한 가입자식별모듈(USIM, 유심) 정보 유출을 촉발한 악성코드를 작년 3월 찾고서도 숨긴 사실이 새로 나왔다. KT는 심지어 지난 7월 KT는 SK텔레콤이 받은 공격은 불가능하고 그런 적이 없다는 기자간담회를 개최하는 등 SK텔레콤 해킹을 마케팅에 활용하기도 했다.

'패킷 감청' 의혹도 일부 사실로 확인했다. 불법 펨토셀을 매개로 인증 정보를 획득할 수 있는 가능성을 알아냈다.

6일 과학기술정보통신부는 'KT 침해사고에 대한 중간 조사결과'를 발표했다.

과기정통부는 지난 9월9일부터 KT에 대해 민관합동조사단을 운영하고 있다. ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출 사고 ▲국가 배후 조직에 의한 KT 인증서 유출 정황(프랙 보고서 관련) ▲외부 업체를 통한 보안 점검 과정에서 발견한 KT 서버 침해사고 3건을 들여다보고 있다.

조사단은 KT의 ▲관리 부실 ▲사고 은폐 ▲증거 인멸 정황을 다수 확보했다. 관계 당국의 엄중한 조치를 요청할 방침이다.

불법 펨토셀 사고 피해자는 2024년 8월1일부터 2025년 9월1일까지 총 2만2227명이다. ▲가입자식별번호(IMSI) ▲단말기식별번호(IMEI) ▲전화번호 유출 정황을 확인했다. 368명이 2억4319만원의 소액 결제 피해를 당했다. 다만 기록이 없는 2024년 8월1일 이전 피해는 파악을 하지 못했다. 기지국 접속 이력이 없는 소액결제 피해도 있었다.

불법 펨토셀이 KT 네트워크에 접속할 수 있었던 것은 관리가 소홀했기 때문이다. KT 펨토셀은 모두 동일한 인증서를 사용했다. 인증서 유효기간은 10년. 사실상 KT망에 1회 접속한 펨토셀은 지속적으로 KT망에 접속할 수 있었다. 펨토셀 관련 정보를 보안 조치 없이 공급해 정보 추출이 어렵지 않았다. 심지어 펨토셀이 타사 및 해외 인터넷주소(IP)를 사용해도 차단하지 않았다. 인증서만 있으면 펨토셀 제품 고유번호 등 형상 정보를 검증하는 절차도 없었다.

소액결제는 개인정보도 있어야 한다. KT는 그동안 불법 펨토셀로 인한 개인정보 유출 의혹을 부인했다. 그러나 조사단은 KT 통신망 데스트베드 실험 등을 통해 이 역시 있을 수 있는 일이라고 판단했다. 통신 패킷은 암호화 돼 있지만 불법 펨토셀을 매개로 해제가 가능했다. 자동응답시스템(ARS)와 문자메시지(SMS) 인증 정보를 평문으로 취득할 수 있었다. 음성통화 탈취 여부는 조사 중이다.

조사 과정에서 KT가 작년 3월부터 7월까지 ▲BPF도어 ▲웹셀 등 악성코드 감염 서버 43대를 인식해 자체 처리한 사실을 새로 파악했다. BF도어와 웹셀 등은 SK텔레콤 유심 정보 유출 공격에 쓰인 악성코드다. KT 감염 서버에도 ▲성명 ▲전화번호 ▲이메일주소 ▲IMEI 등 개인정보가 존재했다.

KT는 지난 7월 '고객 안전·안심&정보보호 기자단 브리핑’을 열고 자체 조사 결과 SK텔레콤과 유사한 공격을 받은 적도 없고 특이사항도 없다고 강조했다. 황태선 KT 정보보안실장(CISO, 최고정보보호책임자)는 당시 "내부망에 대한 침투 테스트를 주기적으로 실시하고 이 과정에서 모의해킹 시도가 탐지되면 보안 관제에 의해 즉시 비상 대응 절차에 들어가는지 체크하는 등 일회성 점검의 결과가 아니다"라고 주장했다. 거짓말이었던 셈이다.

프랙 보고서가 촉발한 정보 유출도 덮으려던 정황을 찾아냈다. KT는 8월1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 보고했다. 하지만 ▲8월1일 2대 ▲8월6일 4대 ▲8월13일 2대 등 시점이 보고와 차이가 있었다. 백업 로그 존재 사실도 9월18일까지 숨겼다.

외부 보안 점검으로 알아낸 서버 침해 사고는 아직 조사 중이다.

중간 조사 결과 KT가 이미 여러 법령을 위반한 것도 확인했다. 불법 펨토셀 및 외부 점검 서버 침해 신고 규정을 위반했다. 무단 소액결제를 경찰이 KT에 통보한 시점은 9월1일이다. KT는 9월5일 무단 소액결제를 차단했다. 신고는 9월8일에 했다. BPF도어 등 악성코드 침해 건은 신고조차 하지 않았다. 외부 업체 경고는 9월15일 있었으나 9월18일에야 당국에 알렸다. 프랙 관련 증거 인멸은 이미 과기정통부가 경찰에 수사 의뢰했다.

과기정통부는 "KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편 KT의 ▲펨토셀 관리상 문제점 ▲과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용 약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 전했다.

윤상호 기자 crow@techm.kr