[뉴스웍스=박광하 기자] 최근 발생한 KT 펨토셀 보안 사고를 민관합동조사단이 조사한 결과 펨토셀이 망에 접속하는 과정에서 인증 관리 문제로 2만2227명의 가입자 정보가 유출되고 368명이 2억4319만원의 소액결제 피해를 입은 것으로 확인됐다. KT는 지난해 3월부터 7개월간 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않은 점도 드러났다.

과학기술정보통신부는 6일 정부서울청사에서 이 같은 민관합동조사단 중간 조사결과를 발표했다.

조사단에 따르면 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하면 불법 펨토셀도 KT 망에 접속이 가능했다. 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속적으로 망에 접속할 수 있는 문제점도 발견됐다.

펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하고 추출하는 것이 가능했다. KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았다. 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.

◆종단 암호화 해제돼 평문 인증정보 탈취

조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 인증정보를 평문으로 취득할 수 있었던 것으로 판단했다.

KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다. 구간 암호화는 통신패킷이 흐르는 경로의 암호화로, 무선·인터넷 구간에 암호화를 적용하고 통신사 국사 내 신뢰구간에는 암호화를 미적용한다. 종단 암호화는 단말에서 코어망까지 통신데이터 자체를 암호화하는 것으로, 문자 및 음성 시그널링에 대해 국사 내 코어망까지 암호화한다.

조사단은 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.

◆악성코드 감염 서버 43대 발견하고도 미·지연신고

조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPF도어 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. KT는 지난해 3월부터 7개월의 기간 동안 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견해 정부에 신고 없이 자체적으로 조치했다. 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다.

KT는 올해 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 9월 5일 오전 3시 차단 조치했다. 하지만 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일 오후 7시 16분에 침해사고를 지연신고했다.

KT는 외부 업체를 통한 보안점검 결과를 통해 9월 15일 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나, 9월 18일 밤 11시 57분에야 당국에 침해사고를 지연신고했다.

프랙 보고서(8월 8일)에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해 KT는 8월 1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기시점을 당국에 허위 제출했다. KT는 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다.

조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해, 형법 제137조 위계에 의한 공무집행방해에 따라 10월 2일 수사기관에 수사 의뢰했다.

◆피해자 2만2227명…추가 확인 거쳐 최종 규모 확정할 듯

조사단은 KT에 피해 조사 대상 확대 및 분석방식을 개선할 것을 지속적으로 요구했다.

KT는 통신기록이 남아있는 지난해 8월 1일부터 올해 9월 10일 간 모든 기지국 접속 이력 약 4조300억건 및 모든 KT 가입자의 결제 약 1억5000만건 등 확보 가능한 모든 데이터를 분석했다. 이를 통해 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐으며, 368명이 2억4319만원의 소액결제 피해를 입었다.

다만 통신기록이 없는 지난해 8월 1일 이전의 피해에 대해서는 파악이 불가능했으며, 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다. 조사단은 KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.

조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 전면 제한(9월 10일)하는 한편, KT에 펨토셀이 발급받은 통신사 인증서 유효기간 단축(10년→1개월, 9월 10일), 펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단(9월 23일), 펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증(10월 3일), 펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치토록 했다.

과기부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.