"KT, 악성코드 감염 서버 43대 발견하고도 미신고"

KT 침해사고 민관합동조사단 중간 발표

KT가 과거 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않았던 것으로 파악됐다.

한 시민이 서울 KT 판매점 앞을 지나고 있다. 연합뉴스

과학기술정보통신부가 꾸린 KT 침해사고 민관합동조사단은 6일 이 같은 내용의 중간조사 결과를 발표했다.

앞서 KT는 지난 9월 소액결제 피해자의 통화 이력을 분석한 결과 자사에 등록되지 않은 초소형기지국(펨토셀)이 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 침해 사고를 신고했다.

조사단은 지난 9월9일부터 ▲불법 펨토셀에 의한 소액결제와 개인정보 유출 사고 ▲국가 배후 조직에 의한 KT 인증서 유출 정황(프랙보고서) ▲KT가 외부 업체를 통한 보안 점검 과정에서 발견한 서버 침해사고 등 3건을 조사해 사고 원인을 분석했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 짚었다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서만 복사하면 불법 펨토셀도 KT 망에 접속 가능한 구조였다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속해서 망에 접속할 수 있는 문제가 있었다.

또 펨토셀 제조사가 셀 ID와 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, KT 망에 펨토셀이 접속 인증을 할 때 다른 회사나 해외 IP 등 비정상 IP를 차단하지 않았다고 파악했다.

서버 포렌식 분석을 통해 KT가 악성코드 침해 사고를 감추려 한 정황도 드러났다. KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견했으나 정부에 신고하지 않고 자체 처리했다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다. KT는 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장됐다고 조사단에 보고했다.

침해 사고 지연 신고도 포착됐다. KT는 지난 9월1일 경찰로부터 무단 소액 결제 발생을 전달받고 이상 통신 패턴을 차단하고도 신고는 불법 펨토셀 ID를 확인한 같은 달 8일에 했다. 마찬가지로 정보통신망법상 3000만원 이하 과태료 부과 대상이다.

소액결제 피해 규모는 확대될 전망이다. 조사단은 현재까지 파악된 총 368명, 2억4319만원 규모의 피해 외에 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.

노경조 기자 felizkj@asiae.co.kr