[서울이코노미뉴스 박희만 기자] KT가 지난해 은닉성이 강한 악성코드 ‘BPF 도어(BPF Door)’에 서버가 대거 감염된 사실을 인지하고도, 이를 정부에 신고하지 않고 자체 조치한 것으로 드러났다.
BPF 도어는 올해 초 SK텔레콤 해킹사태 때도 피해를 야기한 악성코드다. KT가 이를 은폐한 정황이 민관 합동조사단 조사에서 확인됐다.
과학기술정보통신부와 민관 합동조사단은 6일 정부서울청사에서 브리핑을 열고 “KT가 지난해 3~7월 사이 BPF 도어 및 웹셸(WebShell) 등 악성코드에 감염된 서버 43대를 발견하고도 신고없이 자체 대응했다”고 밝혔다.
조사단에 따르면 해당서버에는 가입자의 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다.
KT는 이같은 사실을 조사단에 보고했으며, 조사단은 KT의 해킹 은폐정황에 대해 “엄중히 보고 있다”며 “사실관계를 명확히 규명하고 관계기관과 함께 합당한 조치를 취할 계획”이라고 밝혔다.
KT의 은폐행위는 올해 초 SK텔레콤 해킹사태 이후 당국이 BPF 도어 감염여부를 전수 조사하는 과정에서도 드러나지 않았다.
이 때문에 당국은 당시 KT의 감염사실을 파악하지 못한 것으로 전해졌다.
조사단은 또한 KT의 펨토셀(Femtocell) 관리부실이 무단 소액결제 피해의 주요원인 중 하나라고 지적했다.
펨토셀은 소형 이동통신 기지국으로, KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었다.
해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속할 수 있었으며, 인증서 유효기간이 10년으로 설정돼 한 번 접속한 펨토셀은 장기간 네트워크 접근이 가능했다.
또 KT는 펨토셀 제작을 외주사에 맡기면서 셀 ID, 인증서, KT 서버 ID 등 핵심정보를 별도의 보안체계 없이 제공한 것으로 드러났다.
조사 결과, 펨토셀 저장장치에서 해당정보를 손쉽게 확인·추출할 수 있었던 것으로 나타났다.
KT 내부망의 펨토셀 접속 인증과정에서도 보안 허점이 발견됐다. 조사단은 KT가 외국 IP나 비정상 IP를 차단하지 않았고, KT망 등록여부에 대한 검증절차도 부재했다고 지적했다.
아울러 단말기와 기지국, 단말기와 코어망 간 통신과정에서 종단간 암호화가 적용돼 있었지만, 불법 펨토셀이 이를 해제할 수 있었던 점도 확인됐다.
암호화가 해제된 상태에서는 불법 펨토셀이 ARS나 문자(SMS) 인증 등 결제정보를 평문으로 탈취할 수 있는 구조였다는 것이다.
조사단은 “불법 펨토셀을 통한 결제 인증정보 뿐아니라 문자나 음성통화 탈취 가능성에 대해서도 전문가 자문과 추가실험을 진행할 예정”이라며 “기지국 접속이력이 남지 않은 일부 소액결제 피해도 확인돼, 피해자 누락 여부를 재점검하겠다”고 밝혔다.
과기정통부는 조사 결과를 바탕으로 KT의 해킹 은폐 및 펨토셀 관리부실이 법률상 위약금 면제사유에 해당하는지 검토한 뒤, 조만간 공식 입장을 발표할 예정이다.