KT가 43대의 서버가 'BPF도어' 등 악성코드에 감염된 사실을 지난해 알고도 이를 은폐한 사실이 뒤늦게 드러났다.
KT 침해사고 민관합동조사단은 6일 정부서울청사에서 열린 중간조사 결과 브리핑에서 KT가 2024년 3~7월 BPF도어와 웹쉘 등 악성코드에 감염된 서버 43대를 발견했으나 정부에 신고하지 않고 자체 조치했다고 밝혔다. 일부 감염 서버에는 고객의 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등이 저장돼 있었다.
BPF도어는 4월 SKT 유심 정보 해킹 사고에 쓰인 악성 프로그램이다. 시스템에 잠복해 있다가 미리 정해진 특정신호(패킷)를 수신하면 활성화되는 구조로 일반적 보안수단을 우회해 은닉할 수 있어 탐지가 어렵다.
조사단은 이번 사안을 엄중히 보고 사실관계를 밝히며 관계기관에 합당한 조치를 요청할 계획이다. 정보통신망법에 따르면 정보통신서비스 제공자는 침해사고가 발생한 것을 알게 된 때로부터 24시간 이내에 침해사고의 발생 일시, 원인 및 피해 내용 등을 과기정통부 장관이나 한국인터넷진흥원(KISA)에 신고해야 하며, 이를 위반할 시 3000만원 이하의 과태료가 부과된다.
앞서 지난 6월 SKT 해킹사태 이후 과기정통부와 KISA는 KT와 LG유플러스 서버 점검 결과 악성코드 침해 흔적을 찾지 못했다. 조사단은 KT가 BPF도어를 지우는 과정에서 남은 백신 사용 흔적을 추적해 침해 사실을 확인할 수 있었다고 밝혔다.
최우혁 과기정통부 정보보호네트워크정책실장은 "KT BPF도어 감염 사실은 최근에 발견한 것이라 조사를 더 해야 한다"며 "해당 서버들에 얼마만큼의 정보가 있는지, 어떤 공격을 받았는지, 해킹 공격자가 SKT를 공격한 이들과 연관성이 있는지 등은 아직 이야기하기 어렵다"고 말했다.
또 이날 브리핑에선 KT의 초소형기지국(펨토셀) 관리체계가 전반적으로 부실했다는 사실도 지적됐다. 조사 결과, KT에 납품된 모든 펨토셀은 동일한 인증서를 사용하고 있기 때문에 해당 인증서만 복사하면 불법 펨토셀도 KT 내부망에 접속할 수 있는 구조였다. 또 인증서 유효기간이 10년이라 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 망에 접속할 수 있다.
펨토셀 제조사 역시 보안관리에 소홀했다. 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT서버 IP 등 중요정보를 보안체계 없이 펨토셀 제작 외주사에 제공했다. 이렇다보니 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부도 검증하지 않았다.
300여명의 고객이 2억4000만원 이상 피해를 입었던 KT 무단 소액결제 사태의 공격수단이 불법 펨토셀이었던 만큼, KT측의 부실한 관리체계가 피해를 낳은 셈이다.
과기부는 KT 침해 사고에 대한 최종 조사 결과를 토대로 법률 검토를 거쳐 KT의 위약금 면제 여부를 발표할 계획이라고 밝혔다.
Copyright @ NEWSTREE All rights reserved.
