KT, 'BPF도어' 악성코드 감염 알고도 1년간 은폐…정부 조사로 드러난 '보안 총체적 부실'

[이코노믹데일리] KT 무단 소액결제 사태가 단순한 해킹 사고를 넘어 KT의 조직적인 '은폐'와 '총체적 보안 부실'이 빚어낸 예고된 참사였음이 정부 조사를 통해 드러났다. 

KT는 지난해 이미 SK텔레콤을 공격했던 것과 동일한 악성코드에 서버가 대량 감염된 사실을 알고도 당국에 신고하지 않고 은폐했으며 소액결제 탈취의 통로가 된 초소형 기지국(펨토셀)은 누구나 쉽게 복제해 내부망에 접속할 수 있을 정도로 허술하게 관리해 온 것으로 밝혀졌다.

과학기술정보통신부 민관합동조사단은 6일 KT 침해 사고에 대한 중간 조사 결과를 발표하며 이같이 밝혔다. 조사단은 서버 포렌식 분석을 통해 KT가 지난해 3월부터 7월 사이 'BPF도어'와 '웹셸' 등 악성코드에 감염된 서버 43대를 발견하고도 이를 당국에 신고하지 않고 자체적으로 처리한 사실을 확인했다. 심지어 이 감염 서버에는 성명, 전화번호, 이메일, 단말기 식별번호(IMEI) 등 민감한 개인정보까지 저장돼 있었던 것으로 드러났다.

'BPF도어'는 올해 초 SK텔레콤 해킹 사태에서도 막대한 피해를 유발했던 고도화된 악성코드다. KT가 1년 전 감염 사실을 인지하고도 이를 숨기면서 SK텔레콤 사태 이후 당국이 진행한 업계 전수조사마저 무력화시킨 셈이 됐다.

조사단은 KT의 이러한 은폐 정황에 대해 "엄중히 보고 있다"며 "사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 밝혀 정보통신망법 위반에 따른 과태료 부과는 물론 그 이상의 처벌 가능성까지 시사했다.

펨토셀 관리 실태는 더욱 가관이었다. 조사 결과 KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용해 복제만 하면 누구든 불법 펨토셀을 KT 내부망에 접속시킬 수 있었다. 인증서 유효기간은 10년이나 됐고 셀 ID 등 중요 정보는 아무런 보안 체계 없이 외주사에 제공됐다.

심지어 KT는 내부망 접속 과정에서 비정상 IP를 차단하거나 등록된 기기인지 검증하는 최소한의 절차조차 없었다. 사실상 범죄자들에게 '들어오십시오'하고 대문을 활짝 열어준 격이다.

조사단은 이러한 허점을 통해 공격자가 종단 암호화를 해제하고 ARS나 SMS 인증정보를 평문으로 탈취해 소액결제를 일으켰을 가능성이 높다고 판단했다. 나아가 문자, 음성통화 내용까지 탈취됐을 가능성에 대해서도 추가 조사를 진행할 방침이다.

현재까지 파악된 피해 규모(368명, 2억4000만원) 역시 빙산의 일각일 수 있다. 조사단은 "기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 KT의 피해자 분석 방식을 재점검해 누락된 피해자가 있는지 확인할 계획이라고 밝혔다.

잇따른 거짓 해명으로 국회 위증 논란까지 휩싸인 KT가 1년 전부터 해킹 사실을 알고도 조직적으로 은폐해 왔다는 정부의 공식 발표가 나옴에 따라 김영섭 대표를 비롯한 경영진의 책임론은 더욱 거세질 전망이다.