"KT의 2024년 3월 ▲BPF도어 ▲웹셸 등 악성코드 해킹 미신고 건은 이번 해킹 조사 과정에서 민관합동조사단이 백신을 돌린 흔적을 찾아 이를 추궁하는 과정에서 KT가 43대 서버에 악성코드가 있었다는 사실을 보고한 것이다. 감염 서버 및 유출 규모 등은 이제 조사를 해 봐야 알 수 있다."

6일 최우석 과기정통부 네트워크정책실장은 서울 종로구 정부 서울청사에서 열린 'KT 침해사고에 대한 중간 조사결과'에서 이같이 밝히고 KT의 ▲해킹 은폐 ▲거짓 해명 ▲증거 인멸 등에 대해 엄정 대처하겠다고 강조했다.

과기정통부는 9월9일부터 KT에 대해 조사단을 운영 중이다. ▲불법 소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출 사고 ▲국가 배후 조직에 의한 KT 인증서 유출 정황(프랙 보고서 관련) ▲외부 업체를 통한 보안 점검 과정에서 발견한 KT 서버 침해사고 3건을 살피고 있다.

최 실장은 "최종 조사 결과 발표 시점은 미정"이라며 "불법 펨토셀 해킹 등외에도 새로 발견한 해킹 등 전체를 포렌식하는데 시간이 필요하다"라고 말했다.

또 "분명히 국민에게 피해를 준 것은 잘못된 기업의 행위"라며 "거기에 따라 조사를 하고 할 수 있는 수사 의뢰를 포함한 모든 조치를 취할 것"이라고 덧붙였다.

불법 펨토셀 해킹은 인재로 드러났다. KT는 모든 펨토셀이 동일한 인증서를 사용했다. 인증서 유효기한은 10년이다. 타사 및 해외 인터넷주소(IP)에서도 접속이 가능했다. 펨토셀 정보를 추출해 악용하는 것도 별다른 보안 조치가 없었다.

최 실장은 "무단 소액결제는 불법 펨토셀 탓에 이뤄진 듯하다"라며 "모든 가능성을 열어두고 있지만 현재로서는 불법 펨토셀 가능성이 높다"라고 분석했다. KT의 그동안의 주장과 배치하는 결론이다. 소액결제는 개인정보가 필요하다. 이 때문에 KT는 KT가 아닌 다른 해킹이 있었다는 가능성을 내비쳐왔다.

불법 펨토셀 방치는 '패킷 감청'으로 이어졌다. 패킷 감청은 통신망을 통해 오가는 디지털 신호를 중간에 가로채 감청하는 것을 의미한다. KT는 '코어망-기지국-단말' 구간을 국제표준화기구(3GPP)와 한국정보통신기술협회(TTA) 표준권고에 따라 암호화를 했다. 하지만 불법 기지국이 끼어들어 자동응답시스템(ARS)와 문자메시지(SMS) 인증정보를 평문으로 취득했다. 조사단은 음성통화 탈취 여부 등도 파악 중이다.

최 실장은 "종단 간 암호 해제는 이례적인 케이스로 불법 펨토셀이 중간에서 역할을 했기 때문"이라며 "불법 펨토셀 장비 검증이 아직 끝나지 않아 아직 정리가 필요하다"라고 말을 아꼈다.

불법 펨토셀이 접속한 서버를 들여다보는 과정에서 KT가 2024년 3월부터 7월까지 43대 서버에서 ▲BPF도어 ▲웹셸 악성코드 침해를 알아내 자체 조치한 사실을 찾았다. 관련 백신을 돌린 흔적이 나왔다. 이 악성코드는 지난 4월 SK텔레콤 가입자식별모듈(USIM, 유심) 정보 유출 사고에 쓰인 해킹 수단이다.

KT는 이 사실을 숨기고 지난 7월 기자간담회를 열어 SK텔레콤과 유사한 공격을 받은 적도 없고 막을 수 있는 대비도 갖췄다고 했다. 당시 황태선 KT 정보보안실장(CISO, 최고정보보호책임자)는 당시 "내부망에 대한 침투 테스트를 주기적으로 실시하고 이 과정에서 모의해킹 시도가 탐지되면 보안 관제에 의해 즉시 비상 대응 절차에 들어가는지 체크하는 등 일회성 점검의 결과가 아니다"라고 강조했다. KT는 이를 이용한 마케팅을 통해 SK텔레콤 가입자를 빼갔다.

최 실장은 "SK텔레콤 해킹 조사 때 KT와 LG유플러스 전수 조사 과정에서 이 사실을 찾지 못한 것은 이미 이를 KT가 지웠기 때문"이라며 "KT는 43대 감염과 일부 정보 유출 정황을 보고했지만 검증을 해봐야 한다"라고 KT의 해킹 은폐가 더 있을 가능성을 시사했다.

프랙 보고서가 제기한 해킹은 일단 증거 인멸을 확인했다. KT는 서버 폐기 시점을 허위 보고했다. 폐기 서버 로그 기록 존재도 9월18일까지 제출하지 않았다.

최 실장은 "형법 제137조 위계에 의한 공무집행방해로 수사 의뢰했다"라며 "SK텔레콤 영업정지는 유심 교체 대신 신규 영업을 하는 부도덕한 행위를 막기 위해서 했던 것으로 KT도 엄중하게 쳐다보고 판단하겠다"라고 전했다.

외부 업체가 발견한 서버 해킹은 아직 구체적 내용을 들여다보지 못했다. 다른 해킹 사고 파악에도 시간이 모자랐던 탓이다. 신고 지연은 여기에도 있었다. KT는 이 사실을 9월15일 알았지만 9월18일에야 당국에 신고했다.

전체 가입자 위약금 면제는 최종 결과가 나온 후 결정할 전망이다. 현재대로면 위약금 면제가 불가피해 보인다. SK텔레콤에 비해 죄질이 좋지 않다는 평가가 우세하다.

최 실장은 "피해를 특정하고 법률 자문을 거쳐 최종 의견을 공개할 수 있을 것"이라며 "현재 과기정통부가 할 수 있는 KT에 대한 처분은 미신고에 따른 과태료 밖에 없지만 수사 의뢰 이후에는 형법상 처벌이 가능하다"라고 설명했다.

한편 KT는 민관합동조사단의 중간 조사 결과를 엄중하게 받아들이며, 악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다고 밝혔다. 

KT는 정부 합동조사단 및 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다할 방침이다.

윤상호 기자 crow@techm.kr