KT, 작년 서버 해킹 '은폐' 정황… 정부 "엄중 조치" 예고

조사단, 6일 KT 침해사고 중간 조사결과 발표
가입자 2만2천227명 IMSI·IMEI 등 정보 유출

KT가 지난해 BPF도어(BPFDoor)라는 은닉성이 강한 악성 코드에 서버가 대량 감염된 사실을 자체 파악하고도 당국에 신고하지 않고 은폐한 것으로 파악됐다. BPF도어는 올해 초 불거진 SKT[017670] 해킹 사례에서도 큰 피해를 준 악성 코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 정부서울청사에서 중간 조사 결과에 대한 브리핑을 통해 이같이 밝혔다. 사진은 이날 서울 광화문 KT 본사 모습. 연합뉴스

KT가 지난해 악성코드에 서버가 감염된 사실을 파악하고도 당국에 신고하지 않았다는 조사 결과가 나왔다. KT 침해사고 민관합동조사단은 6일 이 같은 내용을 포함한 KT 침해사고 중간 조사결과를 발표했다.

조사단에 따르면 KT가 통신기록이 남아 있는 지난해 8월 1일부터 지난 9월 10일까지의 기지국 접속 이력 4조300억건과 KT 가입자 결제 1억5천만건 등의 데이터를 분석한 결과 불법 소형 기지국(펨토셀) 20개에 접속한 가입자 2만2천227명의 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출된 정황이 확인됐다. 소액결제 피해자는 368명, 피해 금액은 2억4천319만원으로 집계됐다.

조사단은 KT의 소형 기지국 관리 체계가 전반적으로 부실하고, 불법 소형 기지국이 KT 내부망에 쉽게 접속할 수 있는 환경으로 조사됐다고 밝혔다. KT에 납품되는 모든 소형 기지국이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 소형 기지국도 KT망에 접속이 가능했다는 설명이다.

KT 인증서 유효기간이 10년으로 설정돼 있어 한 번이라도 KT망에 접속한 이력이 있는 소형 기지국이라면 지속해 KT망에 접속할 수 있다는 문제점도 발견했다. 조사단은 또 서버 디지털 증거 수집과 포렌식 분석 등을 통해 과거 KT에 'BPF도어' 등 악성코드 침해사고가 발생했으나 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다.

KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했으나 정부에 신고 없이 자체 조치했으며, 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장되어 있음을 조사단에 보고했다.

또 KT는 지난 9월 1일 경찰로부터 무단 소액결제 발생을 전달받은 뒤 내부망에서 무단 소액결제와 관련한 이상 패턴을 발견해 같은 달 5월 조치했는데, 침해사고 신고는 불법 소형 기지국 존재를 확인한 후인 같은 달 8일까지 미룬 것으로 나타났다.

조사단은 "이번 사안을 엄중히 보고 있다"면서 "사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획"이라고 밝혔다. 조사단은 무단 소액결제 피의자로부터 확보한 불법 장비를 분석해 재발방지 대책을 마련할 계획이다. 누락된 소액결제 피해자 존재 여부를 확인하는 한편 법률 검토를 거쳐 KT 이용약관상 위약금 면제 사유에 해당하는지 여부 또한 발표할 계획이다.