[한국정경신문=변동휘 기자] 정부가 KT에서 발생한 해킹 사고에 대해 위약금 면제를 요구하기로 했다.

과학기술정보통신부는 29일 KT의 사이버 침해사고에 대한 민관합동조사단의 조사 결과 및 위약금 면제 규정에 대한 검토 결과를 발표했다.

정부가 KT 해킹사고에 대해 위약금 면제를 요구했다. (사진=연합뉴스)

조사단은 KT 전체 서버 약 3만3000대를 대상으로 6차례에 걸쳐 악성코드 감염여부를 조사했다. 그 결과 총 94대 서버에 BPFDoor와 루트킷 등 악성코드 103종이 감염됐음을 확인했다.

감염 사실을 발견했음에도 정부 신고 없이 자체 조치한 서버는 총 41대였다. BPFDoor 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종을 확인이다. SK텔레콤 침해사고 조사 당시 KT의 BPFDoor 감염 여부를 점검했으나, 지난해에 이미 악성코드 삭제 등 조치를 취해 발견되지 않았던 것이다.

또한 KT가 자체적으로 실시한 외부업체 보안점검에서 침해흔적이 확인된 서버 및 연계 서버에 대한 포렌식 과정에서 53대 서버 감염 및 77종의 악성코드를 확인했다.

경찰이 확보한 불법 펨토셀을 포렌식 분석한 결과 KT망 접속에 필요한 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐가는 트래픽을 캡쳐해 제3의 장소로 전송하는 기능이 있음을 확인했다.

공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서와 서버 IP 주소 정보를 복사해 내부망에 접속했다. 이후 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등을 탈취했다.

특히 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 판단했다. 통신 과정에서 불법 펨토셀에 의해 종단 암호화가 해제되어 결제 인증정보가 전송됐다는 뜻이다. 특히 아이폰 16 이하 일부 단말의 경우 KT가 암호화 설정 자체를 지원하지 않아 문자 메시지(SMS)가 평문으로 전송되는 문제를 확인했다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했음도 확인했다. 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있었고 인증서의 유효기간이 10년으로 설정돼 있었다. 내부망에서의 펨토셀 접속 인증과정에서 비정상 IP를 차단하지 않고 있었고 제품 고유번호나 설치 지역정보 등 형상정보도 확인하지 않았다.

이에 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책을 마련할 것을 요구했다. 또한 시큐어 부팅 기능 구현과 인증서버 IP 주기적 변경 및 대외비 관리 등 기술적 조치를 취하고 화이트해커와의 협력 등 지속적 관리체계를 구축·운영해야 한다고 강조했다.

KT가 지난해 자체 보안점검 과정에서 웹셸 및 BPFDoor 등 악성코드를 발견했으나 침해사고 신고를 하지 않고 자체적으로 조치한 사실도 확인했다. 뿐만 아니라 조사단에 폐기 시점을 허위 제출하고 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 이를 보고하지 않았다.

과기정통부는 이번 조사결과를 토대로 KT에 내년 1월까지 재발방지 대책에 따른 이행계획을 제출하도록 했다. 이후 6월까지 이행 여부를 점검할 계획이다. 고의적인 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획이다.

위약금 면제와 관련해서는 5개 기관에 법률 자문을 진행한 결과 4곳에서 이번 침해사고를 KT의 과실로 판단했다. 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시한 것이다. 이에 따라 이번 해킹 사고가 위약금 면제 사유에 해당한다고 판단했다.

LG유플러스의 침해사고에 대해서는 익명의 제보자가 지목했던 통합 서버 접근제어 솔루션(APPM) 연결 정보들이 실제 회사에서 유출된 것으로 확인했다. 그러나 서버 운영체제(OS) 업그레이드와 폐기 등의 작업이 이뤄져 조사가 불가능했다.

조사단은 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰했다.