민관합동조사단 중간 발표
43대 악성코드 감염후 백신 사용
정부에 신고하지 않고 은폐 정황
내부망 10년간 같은 인증서 사용
KT "지연신고 송구하다" 입장문
SKT처럼 위약금 면제 처분 전망
지난해 KT 서버 43대가 은닉성이 매우 높은 악성코드 'BPF도어'에 감염됐던 것으로 파악됐다. BPF도어는 SK텔레콤 내부망에 침투한 악성코드와 동일한 것이다. 특히 KT는 사고 발생 이후 정부에 신고하지 않고 자체 처리해 해킹 은폐 의혹을 받고 있다. 또 KT에 납품되는 모든 펨토셀(소형기지국)이 동일한 인증서를 사용하는 등 내부 인증 관리에도 허점이 다수 발견됐다.
■악성코드 감염 알고도 자체 처리
6일 KT 침해사고 민관합동조사단이 정부서울청사에서 발표한 'KT 침해사고에 대한 중간 조사 결과'에 따르면 조사단은 서버 포렌식 분석 등을 통해 지난해 KT 서버 43대에 BPF도어 등 악성코드 침해사고가 발생한 것을 확인했다. BPF도어는 지워져 있었으나, BPF도어를 검출하기 위한 일종의 '백신' 흔적을 조사단이 찾아냈다.
KT는 과거 악성코드 감염 사실을 알고도 당국에 신고하지 않은 채 자체 처리했다. 일부 감염 서버에는 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다. 조사단은 가입자 인증정보 등이 담긴 홈가입자서버(HSS)에 악성코드 침투 여부도 조사 중이다. 최우혁 과기정통부 네트워크정책실장은 "포렌식 등을 통해 43대 서버를 모두 조사·확인한 뒤 최종 결과를 분석해 보고하겠다"고 말했다.
KT의 펨토셀 및 내부망 관리도 총체적으로 부실했던 것으로 파악됐다. KT는 불범 펨토셀을 운영하는 피의자가 암호화를 해제한 상태에서 인증정보(ARS·SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 또 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.
■늑장신고로 정부 조사 방해 의혹도
조사단은 KT는 올해 발생한 해킹 침해사고도 지연신고했다고 밝혔다. KT는 올해 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 패턴을 발견해 9월 5일 차단 조치했음에도 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일에야 침해사고를 신고했다. 해킹 전문지 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해서도 KT는 8월 1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나, 실제로는 그 뒤에도 관련 서버를 폐기하는 등 폐기 시점을 당국에 허위 제출했다. KT는 폐기 서버 백업로그가 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 수사 의뢰했다. KT는 외부 업체를 통한 보안점검 결과를 통해 올해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것도 확인했으나, 9월 18일에야 당국에 침해사고를 지연신고했다.
조사단은 향후 조사 결과를 토대로 법률검토를 거쳐 KT 위약금 면제사유 해당 여부를 판단할 방침이다. KT의 과거 서버 침해 은폐 의혹, 고의 지연신고 등을 감안할 때 당국이 위약금 면제 판단을 할 가능성이 높다는 관측이 나온다. 앞서 조사단은 SK텔레콤 해킹사고가 기업의 중대한 과실에 해당되는 만큼 위약금을 면제해야 한다는 결론을 내린 바 있다.
KT는 조사단 발표 후 입장문을 내고 정부 합동조사단 및 관계기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다하겠다고 강조했다. KT는 "악성코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해사고에 대한 지연신고와 외부 보안업체 점검을 통한 서버 침해 사실 인지 후 지연신고한 사실에 대해 송구하다"고 했다.
43대 악성코드 감염후 백신 사용
정부에 신고하지 않고 은폐 정황
내부망 10년간 같은 인증서 사용
KT "지연신고 송구하다" 입장문
SKT처럼 위약금 면제 처분 전망
■악성코드 감염 알고도 자체 처리
6일 KT 침해사고 민관합동조사단이 정부서울청사에서 발표한 'KT 침해사고에 대한 중간 조사 결과'에 따르면 조사단은 서버 포렌식 분석 등을 통해 지난해 KT 서버 43대에 BPF도어 등 악성코드 침해사고가 발생한 것을 확인했다. BPF도어는 지워져 있었으나, BPF도어를 검출하기 위한 일종의 '백신' 흔적을 조사단이 찾아냈다.
KT는 과거 악성코드 감염 사실을 알고도 당국에 신고하지 않은 채 자체 처리했다. 일부 감염 서버에는 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다. 조사단은 가입자 인증정보 등이 담긴 홈가입자서버(HSS)에 악성코드 침투 여부도 조사 중이다. 최우혁 과기정통부 네트워크정책실장은 "포렌식 등을 통해 43대 서버를 모두 조사·확인한 뒤 최종 결과를 분석해 보고하겠다"고 말했다.
KT의 펨토셀 및 내부망 관리도 총체적으로 부실했던 것으로 파악됐다. KT는 불범 펨토셀을 운영하는 피의자가 암호화를 해제한 상태에서 인증정보(ARS·SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 또 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.
■늑장신고로 정부 조사 방해 의혹도
조사단은 KT는 올해 발생한 해킹 침해사고도 지연신고했다고 밝혔다. KT는 올해 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 패턴을 발견해 9월 5일 차단 조치했음에도 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일에야 침해사고를 신고했다. 해킹 전문지 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해서도 KT는 8월 1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나, 실제로는 그 뒤에도 관련 서버를 폐기하는 등 폐기 시점을 당국에 허위 제출했다. KT는 폐기 서버 백업로그가 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 수사 의뢰했다. KT는 외부 업체를 통한 보안점검 결과를 통해 올해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것도 확인했으나, 9월 18일에야 당국에 침해사고를 지연신고했다.
조사단은 향후 조사 결과를 토대로 법률검토를 거쳐 KT 위약금 면제사유 해당 여부를 판단할 방침이다. KT의 과거 서버 침해 은폐 의혹, 고의 지연신고 등을 감안할 때 당국이 위약금 면제 판단을 할 가능성이 높다는 관측이 나온다. 앞서 조사단은 SK텔레콤 해킹사고가 기업의 중대한 과실에 해당되는 만큼 위약금을 면제해야 한다는 결론을 내린 바 있다.
KT는 조사단 발표 후 입장문을 내고 정부 합동조사단 및 관계기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다하겠다고 강조했다. KT는 "악성코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해사고에 대한 지연신고와 외부 보안업체 점검을 통한 서버 침해 사실 인지 후 지연신고한 사실에 대해 송구하다"고 했다.
댓글목록
등록된 댓글이 없습니다.