'무단 소액결제' 민관합동조사단 중간결과
지난해 4~7월 'BPF 도어' 등 서버 43대 감염
일부 감염 서버에는 이름 등 개인정보 담겨
정부 신고 대신 자체적으로 악성코드 삭제
불법 펨토셀 인증 보안 허점도 수두룩
최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 민관합동조사단의 KT 침해사고 중간조사 결과를 발표하고 있다. 뉴스1
KT가 2024년 발생한 악성코드 감염 사실을 정부에 신고하지 않고 숨긴 것으로 민관합동조사단 조사에 의해 드러났다. 특히 악성코드가 감염된 서버 중 일부에는 이름 등 가입자 개인 정보가 담겨있었던 것으로 파악됐다. 불법 초소형기지국(펨토셀)에 의한 '무단 소액결제' 해킹 사고는 KT가 펨토셀 운영 및 내부망 접속 관리를 부실하게 했기 때문에 일어났다.
6일 'KT 무단 소액결제'를 조사하고 있는 민관합동조사단이 KT가 지난해 3월~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견하고도 정부에 신고 없이 자체적으로 조치했다고 밝힌 가운데 이날 서울 종로구 KT 사옥 모습. 뉴스1
6일 정부서울청사에서 중간 조사 결과를 브리핑한 합동조사단은 KT 서버 포렌식 조사 등을 통해 KT가 지난해 4~7월 서버 43대에 발생한 'BPF도어'와 '웹셸' 등 악성코드 감염을 정부에 알리지 않고 자체 처리했다고 밝혔다. 정보통신망법에 따르면 악성코드 감염 미신고는 3,000만 원 이하 과태료를 물 수 있다.
KT는 자체적으로 악성코드 제거 스크립트를 실행해 삭제했다고 조사단에 보고했다. 최우혁 과학기술정보통신부 네트워크정책실장은 "BPF도어(흔적)가 지워진 상태여서 SK텔레콤 해킹 이후 당국의 전수 조사에서 나타나지 않았지만 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다"며 "서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사해야 한다"고 말했다.
특히 KT는 악성코드에 감염됐던 서버에 가입자의 이름과 전화번호, 이메일 주소, IMEI 등의 정보가 담겨 있었다고 알렸다. 리눅스 기반 백도어 악성코드 BPF도어는 시스템에 감염되면 잠복한 뒤 특정 '매직 패킷'을 수신하면 활성화하는 구조다. 4월 SKT 유심 정보 해킹 때에도 공격 수단으로 쓰였다. 다만 두 차례 일어난 해킹의 공격자가 같은지는 조사가 더 필요하다.
6일 서울 시내의 한 KT 대리점에 소액결제 피해 유심 무상 교체 안내문이 붙어 있다. 뉴스1
KT의 펨토셀 운영·관리도 엉망이었다. KT에 납품되는 모든 펨토셀이 같은 인증서를 사용해 △인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있고 △유효 기간도 10년으로 한 번이라도 KT 망에 접속했으면 계속해 드나들 수 있었다. 또 펨토셀에 들어가는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안 관리 체계 없이 펨토셀 제작 외주사에 제공해 △펨토셀 저장 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었다. KT는 내부망에서의 △펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고 KT 망에 등록된 정보인지도 따져보지 않았다고 조사단은 설명했다.
특히 단말과 KT 코어망까지 통신 데이터 자체를 암호화하는 '종단 암호화'가 불법 펨토셀을 통해 해제될 수 있었다는 사실이 밝혀졌다. 이렇게 되면 불법 펨토셀이 자동응답인증(ARS)이나 문자메시지(SMS) 등 인증 정보를 암호화가 풀린 채 얻을 수 있다는 것이다. 합동조사단은 "불법 펨토셀로 문자, 음성통화 탈취가 가능한지도 볼 계획"이라고 했다.
조사단은 또 "기지국 접속 이력이 남지 않은 소액결제 피해도 있었다"며 KT의 피해자 분석 방식을 다시 살펴 피해자 중 빠진 경우도 확인할 계획이다. 기지국 접속 이력 누락을 두고선 "기술적 한계로 수집이나 보관 중 손실이 생길 수 있다"며 "기지국에 접속이 이뤄졌기 때문에 결제가 발생한 것은 맞다"고 설명했다.
6일 서울 종로구 정부서울청사에서 취재진이 최우혁 과학기술정보통신부 네트워크정책실장의 'KT 침해사고 중간결과 발표' 브리핑을 촬영하고 있다. 뉴시스
KT 서버 악성코드 감염과 무단 소액결제 간 연계성은 추가 조사가 필요할 것으로 보인다. 최 실장은 "(악성 코드 감염 서버가) 소액결제에 필요한 개인 정보와 연계성이 있는지도 확인이 필요하다"며 "자료를 더 분석 해봐야 한다"고 말했다.
KT는 조사 결과를 엄중하게 받아들이며 ①악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 점 ②무단 소액결제 관련 침해 사고 지연 신고 ③외부 보안 업체 점검 통한 서버 침해 사실 인지 후 지연 신고를 사과했다. KT는 "무단 소액결제 피해 및 침해 사고에 대한 정부 조사에 성실히 협조하며 네트워크 안전 확보와 고객 보호 조치에 총력을 다하겠다"고 덧붙였다.
지난해 4~7월 'BPF 도어' 등 서버 43대 감염
일부 감염 서버에는 이름 등 개인정보 담겨
정부 신고 대신 자체적으로 악성코드 삭제
불법 펨토셀 인증 보안 허점도 수두룩
KT가 2024년 발생한 악성코드 감염 사실을 정부에 신고하지 않고 숨긴 것으로 민관합동조사단 조사에 의해 드러났다. 특히 악성코드가 감염된 서버 중 일부에는 이름 등 가입자 개인 정보가 담겨있었던 것으로 파악됐다. 불법 초소형기지국(펨토셀)에 의한 '무단 소액결제' 해킹 사고는 KT가 펨토셀 운영 및 내부망 접속 관리를 부실하게 했기 때문에 일어났다.
KT서버, 악성코드 삭제 스크립트 흔적... "추가 조사해야"
6일 정부서울청사에서 중간 조사 결과를 브리핑한 합동조사단은 KT 서버 포렌식 조사 등을 통해 KT가 지난해 4~7월 서버 43대에 발생한 'BPF도어'와 '웹셸' 등 악성코드 감염을 정부에 알리지 않고 자체 처리했다고 밝혔다. 정보통신망법에 따르면 악성코드 감염 미신고는 3,000만 원 이하 과태료를 물 수 있다.
KT는 자체적으로 악성코드 제거 스크립트를 실행해 삭제했다고 조사단에 보고했다. 최우혁 과학기술정보통신부 네트워크정책실장은 "BPF도어(흔적)가 지워진 상태여서 SK텔레콤 해킹 이후 당국의 전수 조사에서 나타나지 않았지만 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다"며 "서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사해야 한다"고 말했다.
특히 KT는 악성코드에 감염됐던 서버에 가입자의 이름과 전화번호, 이메일 주소, IMEI 등의 정보가 담겨 있었다고 알렸다. 리눅스 기반 백도어 악성코드 BPF도어는 시스템에 감염되면 잠복한 뒤 특정 '매직 패킷'을 수신하면 활성화하는 구조다. 4월 SKT 유심 정보 해킹 때에도 공격 수단으로 쓰였다. 다만 두 차례 일어난 해킹의 공격자가 같은지는 조사가 더 필요하다.
펨토셀 인증서 관리 총체적 부실... '종단 암호화'도 깨진 듯
KT의 펨토셀 운영·관리도 엉망이었다. KT에 납품되는 모든 펨토셀이 같은 인증서를 사용해 △인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있고 △유효 기간도 10년으로 한 번이라도 KT 망에 접속했으면 계속해 드나들 수 있었다. 또 펨토셀에 들어가는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안 관리 체계 없이 펨토셀 제작 외주사에 제공해 △펨토셀 저장 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었다. KT는 내부망에서의 △펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았고 KT 망에 등록된 정보인지도 따져보지 않았다고 조사단은 설명했다.
특히 단말과 KT 코어망까지 통신 데이터 자체를 암호화하는 '종단 암호화'가 불법 펨토셀을 통해 해제될 수 있었다는 사실이 밝혀졌다. 이렇게 되면 불법 펨토셀이 자동응답인증(ARS)이나 문자메시지(SMS) 등 인증 정보를 암호화가 풀린 채 얻을 수 있다는 것이다. 합동조사단은 "불법 펨토셀로 문자, 음성통화 탈취가 가능한지도 볼 계획"이라고 했다.
조사단은 또 "기지국 접속 이력이 남지 않은 소액결제 피해도 있었다"며 KT의 피해자 분석 방식을 다시 살펴 피해자 중 빠진 경우도 확인할 계획이다. 기지국 접속 이력 누락을 두고선 "기술적 한계로 수집이나 보관 중 손실이 생길 수 있다"며 "기지국에 접속이 이뤄졌기 때문에 결제가 발생한 것은 맞다"고 설명했다.
"서버 악성코드 감염과 무단 소액결제 연계성 정밀조사 필요"
KT 서버 악성코드 감염과 무단 소액결제 간 연계성은 추가 조사가 필요할 것으로 보인다. 최 실장은 "(악성 코드 감염 서버가) 소액결제에 필요한 개인 정보와 연계성이 있는지도 확인이 필요하다"며 "자료를 더 분석 해봐야 한다"고 말했다.
KT는 조사 결과를 엄중하게 받아들이며 ①악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 점 ②무단 소액결제 관련 침해 사고 지연 신고 ③외부 보안 업체 점검 통한 서버 침해 사실 인지 후 지연 신고를 사과했다. KT는 "무단 소액결제 피해 및 침해 사고에 대한 정부 조사에 성실히 협조하며 네트워크 안전 확보와 고객 보호 조치에 총력을 다하겠다"고 덧붙였다.
댓글목록
등록된 댓글이 없습니다.