[뉴스웍스=박광하 기자] KT가 지난해 3월부터 7월까지 악성코드의 하나인 BPF도어에 감염된 서버 43대를 발견했지만 당국에 신고하지 않고 자체 처리한 사실이 민관합동조사단의 포렌식 과정에서 확인됐다.

불법 초소형 기지국(펨토셀) 해킹으로 종단간 암호화가 무력화된 점도 조사를 통해 드러났다.

다음은 6일 정부서울청사에서 열린 중간 조사결과 발표에서 과학기술정보통신부와 기자들 간의 일문일답이다.

-KT가 악성코드를 자체 처리했다는 게 구체적으로 어떤 행위인가.

"조사단이 포렌식 과정에서 발견한 사항이다. 포렌식 결과 KT가 악성코드를 스캔하는 스크립트를 실행했던 흔적을 포렌식을 통해 확인했다. 펨토셀 관련 서버에서 발견됐다. 발견된 흔적에 관해 추궁하니 그때서야 KT로부터 관련 자료가 제출되기 시작했다. 조사 당시에는 BPF도어가 이미 삭제된 상태였다."

-SK텔레콤 사이버 침해 사고 당시 BPF도어에 대해 정부가 KT와 LG유플러스에 자체 전수 조사를 지시했는데, 이번에 KT 서버에서 해당 악성코드가 나왔다면 자체 전수 조사에 문제가 있었던 것 아닌가.

"조사 당시에는 BPF도어는 지워져 있었던 상태였으므로 발견되지 않았던 것이다. (KT 해킹 조사에서는 포렌식 과정에서) BPF도어 검출 스크립트를 돌린 흔적을 발견한 것이다."

-종단간 암호화를 해제하는 메커니즘이 궁금하다. 이 방식을 활용하면 KT 외 다른 통신사도 펨토셀을 통한 종단간 암호화 해제가 가능한가.

"종단간 암호가 해제되는 경우는 굉장히 이례적인 케이스다. 불법 펨토셀이 중간에서 스마트폰과 KT 코어망 사이에서 해제 관련 역할을 했기 때문이다. 종단간 암호를 설정하기 위한 과정 중에 불법 펨토셀이 개입해서 해제될 수 있는 상황을 만들 수 있다는 걸 프로토콜 분석, 전문가 의견, 여러 테스트를 통해 확인했다."

-펨토셀 감청이 된다는 전제를 깔면 단순히 소액 결제에 필요한 문자메시지나 ARS 유출뿐만 아니라 데이터 통신 전체가 유출됐을 가능성도 있는 것 아닌가.

"조사가 좀 더 필요한 영역이다. 조사단에 많은 정보보호, 정보통신 전문가가 참여하고 있다. 전문가 자문도 필요하고 테스트베드에서 테스트도 해보고 있다. 정리되면 말씀드리겠다."

-기지국 접속 이력이 없는 소액결제 피해도 확인했다고 했는데 규모는 얼마나 되나. 어떻게 소액결제가 이뤄질 수 있었나.

"비율은 공개적으로 말씀드리기 어렵다. 약 4조300억건의 기지국 접속 기록을 KT가 보관하는 과정에서 접속 이록이 기록되지 못하는 '로스'가 발생할 수 있다. 기지국 접속 기록이 없을 뿐이지 실제로 기지국에 붙었기 때문에 결제가 일어난 건 맞다."

-지금까지 확인된 것에서 KT가 받을 수 있는 가장 강한 조치는 무엇인가.

"조사를 어느 정도 더 확인한 후 SK텔레콤처럼 법률 자문을 적정 시점에 받아서 최종적으로 말씀드리겠다. 조사를 더 하고 문제가 되는 부분과 피해 부분까지 생각하고 난 뒤에 판단할 수 있을 것 같다."

-프랙 보고서 관련 서버 폐기 건에 대한 법적 조치는.

"미신고에 따른 과태료밖에 없지만, 형법상 지금 문제 제기를 한 것이라 수사 의뢰 이후 형법상 처벌이 있으면 거기에 따를 것으로 안다. 경찰에 수사 의뢰할 때 형법상 위계에 의한 공무집행 방해 혐의로 수사를 의뢰했다."

-최종 조사 결과 발표는 언제쯤 예상하나.

"예측하기 어렵다. 펨토셀 통신 장비를 이용한 사이버 공격이 예외적인 상황이고 분석에 시간이 많이 걸렸다. 최근에 발견된 BPF도어가 감염됐던 서버 43대를 전체 포렌식하는 데 상당한 시간이 걸린다. SK텔레콤 때도 포렌식하는 데 데이터 가져오는 것도 많은 시간이 걸렸고 라인 바이 라인으로 포렌식을 해야 하기 때문에 시간을 특정하기는 어렵다. 모든 리소스를 투입해서 최대한 빨리 분석하도록 노력하겠다."

-LG유플러스 해킹 조사는 어떻게 진행 중인가.

"민관합동조사단이 구성돼 사건을 살펴보고 있다. 해킹된 것으로 알려진 APPM 서버 외에 추가로 관련된 서버 등을 면밀하게 살펴보고 추후 발표할 내용이 있다면 비슷한 방식으로 브리핑하겠다."