서창석 KT 네트워크 부문 부사장(왼쪽부터), 네트워크 기술 본부장 구재형 상무, 서비스 Product본부장 김영걸 상무, Decision intelligence LAB장 이세정 상무가 지난달 17일 서울 KT광화문빌딩에서 'KT 소액결제 피해 추가 발생 및 개인정보 유출 피해 관련 전수 조사 결과' 브리핑 후 취재진의 질문에 답하고 있다. 황진환 기자
KT가 지난해 은닉성이 높은 악성코드 'BPF도어(BPFDoor)'에 서버가 대량 감염된 사실을 파악하고도 정부에 신고하지 않은 채 자체 조치로 은폐한 정황이 드러났다. 이 악성코드는 올해 초 SK텔레콤 해킹 사태에서도 큰 피해를 입힌 것으로 알려져 파장이 커지고 있다.

'KT 침해사고 민관합동조사단'은 6일 정부서울청사에서 중간조사 결과를 발표하며 "KT가 지난해 3월부터 7월 사이 서버 43대가 BPF도어와 웹셸(WebShell) 등 악성코드에 감염된 사실을 확인하고도 이를 당국에 신고하지 않았다"고 밝혔다.

조사단에 따르면, KT는 해당 서버에서 가입자 이름, 전화번호, 이메일, 단말기식별번호(IMEI) 등 개인정보를 저장하고 있었던 것으로 조사됐다. 다만 SK텔레콤의 경우처럼 핵심 가입자 정보를 보관하는 HSS 서버가 감염됐는지, 개인정보 유출 규모나 공격자 일치 여부 등은 아직 확인되지 않았다.

최우혁 조사단장은 "BPF도어 흔적은 모두 지워진 상태였지만, KT가 관련 백신을 돌린 기록이 남아 있어 감염 사실을 확인했다"며 "전수조사 당시에는 흔적이 사라져 즉시 확인되지 않았다"고 설명했다.

'프랙' 경고 이후 서버 폐기…수사 의뢰로 번져

서울 시내의 한 KT대리점의 모습. 류영주 기자
이번 수사 의뢰는 미국 보안 전문 매체 프랙(Phrack)이 지난 8월 8일자 보고서에서 제기한 '국가 배후 조직에 의한 KT 인증서 유출 정황'과 관련이 있다.

KT는 당시 관련 서버를 모두 폐기했다고 한국인터넷진흥원(KISA)에 보고했으나, 조사 결과 실제로는 같은 달 1일부터 13일까지 세 차례에 걸쳐 총 8대의 서버를 폐기한 것으로 드러났다. 특히 KT는 서버 백업 로그가 존재했음에도 지난 9월 18일까지 조사단에 이를 보고하지 않았다.

조사단은 이러한 행위를 "정부 조사를 방해하기 위한 고의성이 있다"고 판단하고, 지난 2일 KT를 '위계에 의한 공무집행방해' 혐의로 수사기관에 수사를 의뢰했다.

KT는 지난 9월 8일 소액결제 피해자 통화 이력을 분석하던 중 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견해 KISA에 침해사고를 신고했다.

이에 과학기술정보통신부는 피해 규모와 공격 방식의 심각성을 고려해 다음 날인 9월 9일부터 민관합동조사단을 구성, 현재까지 조사를 진행 중이다.

이번 조사 과정에서 KT가 과거 악성코드 감염 사실을 당국에 보고하지 않고 자체 처리했다는 정황이 드러나면서, 조사 범위는 단순한 펨토셀 사고를 넘어 조직적 은폐 의혹으로까지 확대되고 있다.

KT, 신고 의무 위반 및 지연 보고 논란

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. 연합뉴스
현행 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 그 시행령은 정보통신서비스 제공자가 침해사고를 인지한 때로부터 24시간 이내에 당국에 신고하도록 규정하고 있다.이를 어길 경우 최대 3천만 원의 과태료가 부과된다.

KT는 지난해 악성코드 감염 사고를 신고하지 않았을 뿐 아니라, 최근 불법 '펨토셀'(초소형 기지국) 해킹으로 인한 무단 소액결제 피해 발생 당시에도 사흘 뒤에야 신고한 사실이 드러났다.

조사단은 "해당 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝혀 관계 기관에 합당한 조치를 요청할 계획"이라고 강조했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 지적했다.

KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 이 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능한 구조였다. 인증서의 유효기간이 10년으로 설정돼 있어 한 번이라도 접속 이력이 있으면 이후에도 지속적인 접속이 가능했다.

또한 펨토셀에 저장된 셀 ID, 인증서, KT 서버 IP 등 중요 정보가 별도 보안관리 체계 없이 외주업체에 제공된 것으로 조사됐다.

조사단은 "불법 펨토셀을 이용하면 결제 인증정보뿐 아니라 문자·음성 통화 탈취가 가능한지도 추가 실험을 통해 확인할 예정"이라고 밝혔다.

정부 "엄정 조사·법률 검토 후 조치"

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. 연합뉴스
과기부는 "KT 침해사고에 대한 엄정한 조사를 거쳐 최종 결과를 국민에게 투명하게 공개하겠다"고 밝혔다. 또 "현재까지 확인된 사실관계와 향후 조사 결과를 토대로 KT 이용약관상 위약금 면제 사유에 해당하는지 여부를 법률 검토 후 발표할 계획"이라고 덧붙였다.

KT는 "중간 조사 결과를 엄중히 받아들이며, 악성코드 침해 사실 인지 후 정부에 신고하지 않았던 점을 포함해 지연 신고에 대해 송구하다"고 밝혔다. 이어 "무단 소액결제 사태 이후 검증되지 않은 프로그램 실행을 차단하고, 네트워크와 보안 인프라를 통합 관리하는 대응 체계를 구축 중"이라고 설명했다.

민관합동조사단의 중간 결과 발표로 KT는 단순한 보안 부실을 넘어, 해킹 피해 은폐 및 정부 조사 방해 혐의까지 받게 됐다.

조사단은 향후 디지털 포렌식 및 로그 복구를 통해 KT 내부의 침해 대응 절차, 보고 라인, 외주 관리 실태 등을 추가 점검할 계획이다.

정부는 조사 결과를 토대로 KT에 대한 행정 제재 및 형사 조치 여부를 검토할 방침이다.