KT 서버 어디까지 털렸나…최악의 '복제폰' 현실화 가능성도

KT, 18일 자정 서버 해킹 사실 당국에 신고
어떤 정보 침해됐는지는 조사 진행해 봐야
소액결제 사태와 연관성 주목…복제폰 우려도
KT "복제폰 가능성 없다"지만…해명 번복에 우려 커져

KT의 무단 소액결제 사태에 이어 서버 침해 사실까지 추가로 드러나면서 개인정보 유출 우려가 커지고 있다. 자칫 유심 인증키 등 중요 정보가 탈취됐을 경우, 일각에서 제기되는 복제폰 우려가 현실화할 수 있다는 관측이 나온다.

여기에 서버에서 해킹된 정보가 무단 소액결제에 활용됐을 가능성이 있어 당국이 조사 중이다.  

KT, 해킹 흔적 4건, 의심 정황 2건 신고…"어떤 내용인지는 조사해봐야"

20일 업계와 과학기술정보통신부에 따르면, KT는 18일 오후 11시57분 자사 서버 침해 상황을 인터넷진흥원(KISA)에 신고했다. KT 측은 서버침해 흔적 4건과 의심 정황 2건을 신고했다고 밝혔다.

앞서 KT는 올해 4월 SK텔레콤 대규모 유심 해킹 사고 이후 실태 점검을 위해 외부 보안전문 기업에 의뢰해 5월부터 전사 서버를 대상으로 약 4개월에 걸쳐 조사를 진행했다. 이후 최근 조사 결과를 통해 침해 정황을 확인해 KISA에 서버 침해 사실을 신고했다.

10일 서울 한 KT 대리점 모습. 연합뉴스

구체적으로 침해 흔적은 △윈도우 서버 침투 후 측면 이동 시도 △Smominru 봇내 감염 △VBScript 기반 원격코드 실행 및 민감정보 탈취 △Metasploit 을 통한 SMB 인증 시도 및 측면 이동 성공으로 파악됐다. 해킹 의심 정황으로는 △리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 △Rsupport 서버 의심 계정 생성 및 비밀키 유출 등 2건이다.

다만 서버 내 어떤 정보가 침해됐는지, 데이터 유출이 얼마나 되는지 등에 대해서는 추가 조사가 필요하다. KISA 이재형 본부장은 전날 해킹 대응을 위한 과학기술정보통신부-금융위원회 합동브리핑에서 "어떤 서버에서 침해 흔적이 발견됐는지는 아직 관련 자료를 제출받아 세부 분석을 해봐야 안다"고 밝혔다. KT 구재형 네트워크기술본부장도 "어제(18일) 신고를 한 건이라 조사 결과를 봐야 할 거 같다"고 말했다.

소액결제 범죄 연관성 주목…인증키 해킹 시 복제폰 우려 '고개'

19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 구재형 KT 네트워크기술본부장이 사고 경위를 설명하고 있다. 오른쪽은 과기정통부 류제명 제2차관 등. 연합뉴스

일각에서는 이번 해킹으로 주요 고객 정보가 유출됐을 경우, 중대한 2차 피해로 이어지는 게 아니냐는 우려가 제기된다.

SKT 해킹 때도 제기됐던 복제폰 범죄 우려도 다시 고개를 들고 있다. 복제폰은 해킹 등을 통해 유심 정보를 빼내 똑같은 유심을 만든 뒤, 이를 다른 휴대전화에 장착해 똑같은 기능을 하도록 만든 것이다. 이를 통해 불법적인 행위를 저지를 경우 이용자는 속수무책일 수밖에 없다.

앞서 KT는 복제폰 가능성에 단호하게 선을 그은 바 있다. 손정엽 KT 디바이스사업본부 본부장은 18일 소액결제 피해 관련 2차 브리핑에서 "복제폰을 만들기 위해서는 가입자식별정보(IMSI)와 단말기식별번호(IMEI) 인증키 값이 반드시 필요하다"며 "인증키는 유심에 탑재돼 있으며 암호화돼 서버와 함께 관리된다. 외부로 노출될 수 없기 때문에 유출 가능성 자체가 없다"고 강조했다.

그러나 이번 해킹을 통해 서버에서 이 인증키가 유출된 게 아니냐는 우려가 커지고 있다. 그동안 범인이 불법 '펨토셀'을 통해 이용자 휴대전화에 접근한 경위는 파악했지만, 어떻게 결제까지 가능했는지는 오리무중이었다. 결제를 하기 위해서는 각종 개인정보를 비롯해 유심 인증키를 통해 ARS 인증을 통과해야 하기 때문이다. 소액 결제 관련 범죄가 이번 해킹이 관련됐다면, 범죄 조직이 인증키를 겨냥했을 가능성도 제기된다.

김영섭 KT 대표가 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 브리핑을 하고 있다. 왼쪽부터 서창석 KT 네트워크 부문장 부사장, 김영섭 KT 대표, 이현석 커스터머 부문장 부사장. 류영주 기자

KT 측은 서버 해킹에도 여전히 "복제폰 범죄 가능성은 없다"는 입장이다. 그러나 이같은 해명에도 우려는 여전하다. 그동안 KT의 수차례 해명에도 불구하고 유출 정보는 점점 늘고 있어 불안이 커질 수밖에 없는 상황이다.

KT가 밝힌 소액 결제 피해보다 실제 규모가 더 클 가능성도 배제할 수 없다. 국회 과학기술정보방송통신위원회 소속 국민의힘 최수진 의원은 자료를 통해 "KT가 최근 3개월 치 결제 건만 조사해 피해 규모를 제대로 파악하지 못하고 있다"며 "최소 1년간 전수조사가 필요하다"고 강조했다.

KT 측은 "향후 정부 조사에 적극 협조하여 조속한 시일 내에 침해 서버를 확정하고, 구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하고 관련 사항을 발표할 예정"이라는 입장이다.