KT 해킹 사태 원인이 펨토셀 관리 소홀, 암호화 미흡, 보안체계 미비 등 정보보호 체계의 총체적 부실로 확인됐다. 정부는 KT의 귀책에 따라 위약금 면제 조치 및 재발방지 대책 마련을 지시했다.
과학기술정보통신부는 29일 KT 침해사고 민관합동조사단 최종 조사 결과를 발표했다. 조사 결과 해킹의 직접적 원인은 초소형 기지국인 '펨토셀' 관리 부실로 드러났다.
KT에 납품되는 모든 펨토셀 제품은 동일한 제조사 인증서를 사용해 해당 인증서를 복사하는 경우 불법 장비로 KT망에 접속이 가능했다. 또 인증서 유효기간을 10년으로 설정해 한 번이라도 접속 이력이 있는 기기는 무방비로 내부망에 접근할 수 있게 방치했다. 내부망 펨토셀 접속 인증과정 역시 비정상 IP를 차단하지 않았다.
이로 인해 해커는 불법 펨토셀로 KT 내부망에 침투해 2만2227명의 가입자식별번호(IMSI), 단말기식별번호(IMEI), 전화번호를 유출하고 368명 명의로 2억4300만원 상당의 무단 소액결제를 감행했다. 특히 단말과 코어망 간 종단 암호화가 되지 않아 이용자의 문자, 음성통화 내용까지 탈취될 위험에 노출됐던 것으로 파악됐다.
조사단은 “KT가 보안점검, 보안장비 미비 및 로그 단기보관 등 기본적 정보보호 활동이 미흡했다”고 지적했다.
고의적 은폐를 통한 조사방해 정황도 포착됐다. KT는 웹셸·BPF도어 등 악성코드 감염서버 41대를 발견하고도 정부에 신고하지 않고 자체적으로 기록을 삭제했다. 로그기록이 남아있는 기간에는 유출 정황이 없었지만 시스템 로그 보관 기간이 1~2개월에 불과했다. 정부는 이에 대해 과태료 부과와 함께 경찰에 수사를 의뢰했다.
과기정통부는 KT가 안전한 통신 서비스를 제공해야 할 계약상 의무를 위반했다고 보고 피해 발생 여부와 관계없이 해지를 원하는 모든 고객에게 위약금을 면제하도록 했다. 위약금 장벽이 사라지면서 대규모 가입자 이탈이 불가피할 전망이다.
이번 사건을 수사 중인 경찰은 불법장비 운용과 자금세탁, 명의도용 등 관련자 총 13명을 검거했다. 아직 검거되지 않은 장비공급 상선에 대해서는 인터폴 적색수배를 내렸다.
과기정통부는 이번 조사결과를 토대로, 내달까지 KT에 재발방지 대책에 따른 이행계획을 제출하도록 하고 2분기까지 KT의 이행 여부를 점검할 계획이다.
한편 이번 조사에서 LG유플러스 역시 침해사고 정황을 확인하려는 정부 조사 직전에 관련 서버를 무단 폐기하거나 운용체계(OS)를 재설치한 사실이 드러났다. 과기정통부는 이를 명백한 조사 방해 행위로 규정하고, LG유플러스에 대해서도 수사를 의뢰했다.
박준호 기자 junho@etnews.com
