[더팩트｜우지수 기자]KT 개인정보 침해, 소액결제 피해 사태와 관련 회사의 보안 관리 부실이 다수 있었던 것으로 확인됐다.

6일 KT 침해사고 민관합동조사단은 사태에 대한 중간 조사 결과를 발표했다. 조사단은 소형 기지국(펨토셀)의 인증 관리 부실과 암호화 해제 문제로 인해 불법 펨토셀이 KT망에 접속해 인증정보를 탈취한 것으로 판단했다.

조사단은 불법 펨토셀로 인한 소액결제 피해와 개인정보 유출, KT 인증서 유출 정황, 악성코드 감염 및 신고 지연 등 3건의 사고를 조사했다. 이 과정에서 KT의 전반적인 망 관리 및 보안 대응 체계에 중대한 결함이 드러났다고 밝혔다.

KT는 지난해 8월부터 올해 9월까지 약 4조300억 건의 기지국 접속 이력과 1억5000만 건의 결제 데이터를 분석했다. 그 결과 불법 소형 기지국 20개가 KT망에 접속해 2만2227명의 가입자 정보(IMSI, IMEI, 전화번호)를 유출한 정황이 확인됐다. 이 중 368명이 2억4319만원 규모의 소액결제 피해를 입은 것으로 파악됐다.

조사단은 KT의 펨토셀 관리 체계가 부실해 동일한 인증서를 사용하는 모든 소형 기지국이 복제 위험에 노출됐다고 지적했다. 인증서 유효기간이 10년으로 설정돼 한 번 접속한 기기가 지속적으로 내부망에 접근할 수 있었으며, 제조사와 외주업체가 보안 체계 없이 중요 정보를 주고받은 사실도 확인됐다.

또한 단말과 핵심망 간 종단 암호화가 해제된 상태에서 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 조사됐다. 조사단은 문자 및 음성통화 탈취 가능성에 대해서도 추가 실험을 진행 중이다.

조사 결과에 따르면 KT는 지난 3~7월 사이 BPFDoor 등 악성코드에 감염된 서버 43대를 발견했으나 이를 정부에 신고하지 않았다. 일부 서버에서는 고객 이름, 전화번호, 이메일, 단말기 식별번호 등이 저장돼 있었다.

조사단 측은 "이번 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획"이라고 강조했다. 정보통신망법에 따라 침해사실 확인 후 신고하지 않을 경우 3000만원 이하 과태료 부과 대상이 된다. 조사단은 경찰과 함께 불법 장비 분석과 피해자 누락 여부 검증을 진행 중이다.

과학기술정보통신부는 최종 조사 결과를 국민에게 투명하게 공개할 방침이다. 또 KT의 소형 기지국 관리 부실과 악성코드 미신고 등 확인된 사실을 바탕으로 법률 검토를 거쳐 위약금 면제 여부를 검토할 계획이다.

index@tf.co.kr