[뉴스토마토 이지은 기자] KT(030200) 해킹 사태가 소형 기지국(펨토셀) 인증 체계, 보안, 사고 대응 등 다각도에서 부실이 중첩된 결과 발생한 것으로 드러났습니다. KT는 지난해 악성코드가 감염된 서버도 정부에 신고하지 않았습니다. 정부는 압수한 불법 팸토셀 장비를 분석해 문자·음성통화 등 추가적 정보 유출 가능성을 조사할 계획입니다. 아울러 KT 해킹 피해가 위약금 면제 사유에 해당하는지도 살펴보고 있습니다. 

 

과학기술정보통신부와 한국인터넷진흥원(KISA), 경찰 등으로 구성된 KT 침해 사고 민관합동조사단은 6일 KT 해킹 사태에 대한 중간조사 결과를 발표하며 "KT의 펨토셀 관리 체계와 내부망 보안 관리 전반이 부실했다"고 지적했습니다. 

 

 

앞서 KT는 지난 9월8일 소액결제 피해자의 통화 이력을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견했다고 정부에 신고했습니다. 지금까지 드러난 KT 해킹 사태로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호 유출 정황이 확인됐고, 368명·2억4319만원의 소액결제 피해가 발생했습니다. 

 

조사단은 이번 무단 소액결제 사태가 KT의 망 인증 관리가 거의 작동하지 않았기 때문으로 봤습니다. KT는 내부망에 접근하는 비정상 해외 인터넷(IP)을 차단하지 않았고, 기지국의 설치 지역 정보나 제품 고유번호가 실제 등록 정보와 일치하는지 검증하지 않았습니다. 이런 허술한 관리 체계가 불법 펨토셀을 통한 대규모 침투를 가능하게 했다는 분석입니다. 

 

소액결제에 필요한 인증 정보 탈취는 불법 펨토셀을 장악해 단말과 코어망 간 종단 암호화를 해제해 이뤄졌을 가능성이 높다고 판단했습니다. 조사단은 "실제 KT 망 테스트 결과 암호화가 해제된 상태에서는 결제 인증 정보가 그대로 전송되는 것으로 확인됐다"고 설명했습니다. 이는 문자·통화 등 민감 데이터 탈취로도 이어질 수 있는 구조적 취약점으로 지적됩니다. 

 

펨토셀 제조사가 외주업체에 셀ID·인증서·KT 서버 IP 등 주요 정보를 별도 보호 조치 없이 제공한 사실도 확인됐습니다. 과기정통부는 "지난 5일 펨토셀 제품별 별도 인증서를 발급하도록 조치했다"며 "펨토셀이 발급받은 인증서 유효기간도 1개월로 단축하고, KT 유선 IP 외에는 펨토셀에서 접속을 차단하는 조치도 시행했다"고 설명했습니다. 

 

 

조사 과정에서 KT의 과거 침해 사고 은폐 정황도 드러났습니다. 조사단은 KT가 2024년 3~7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리한 사실을 확인했습니다. 일부 감염 서버에는 고객 이름·전화번호·이메일·IMEI 등이 저장돼 있었던 것으로 나타났습니다. 조사단은 프랙보고서를 통해 국가 배후 조직이 개입된 것으로 의심되는 인증서 유출 의혹에 대해 KT가 폐기 서버 일시를 허위 보고한 것에 대해서도 살펴보고 있습니다. 당시 KT는 8월1일 서버를 폐기했다고 말했지만, 실제로는 8월1일 2대, 6일 4대, 13일 2대 등 순차적으로 서버를 폐기했습니다. 이에 조사단은 수사기관에 수사를 의뢰한 상황입니다. 

 

과기정통부는 "조사 결과를 토대로 법률 검토를 거쳐 KT 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 예정"이라고 말했습니다. 

 

이지은 기자 jieunee@etomato.com