민관합동조사단 “펨토셀로 KT 내부망에 쉽게 접속 … 관리 부실 확인”

민관합동조사단이 KT의 무단 소액결제 사건과 관련 허술한 펨토셀 인증서 관리 체계 및 과거 악성코드 미신고 등을 확인한 중간조사를 발표했다.

조사단은 6일 중간 조사발표를 통해 “KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다”고 밝혔다.

KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했던 것. 이 인증서의 유효기간은 10년이어서 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.

특히 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함을 확인했다.

이에 KT에 ▲펨토셀이 발급받은 통신사 인증서 유효기간 단축 ▲펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단 ▲펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증 ▲펨토셀 제품별 별도 인증서 발급 등을 조치토록 했다.

특히 조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.

아울러 조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했고 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. 조사단은 동 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획이다. 

더불어 지연신고 정황도 드러났다. 조사단은 KT는 소액결제 관련 이상 호 패턴을 9월 5일 확인했음에도 9월 8일에 지연신고한 것도 확인했다. 이어 KT는 외부 업체를 통한 보언점검 결과 9월 15일 침해 흔적을 확인했지만 9월 18일에 지연신고 했다. 

특히 프랙 보고서에서 언급된 KT 인증서 유출 정황과 관련 KT는 8월 1일 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했지만 실제로는 8월 1일부터 13일에 걸처 8대 서버를 폐기했고 백업 로그가 있음에도 9월 18일까지 보고하지 않은 사실도 확인했다. 조단은 이와 관련 KT를 고의성이 있다 판단해 수사의뢰한 상황이다.

현재 피해자 368명, 피해액 2억4319만원의 집계가 더 늘어날 가능성도 제기됐다. KT에 통신기록이 없는 작년 8월 1일 이전 피해가 파악 불가했기 때문이다. 조사단은 적은 수이지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었던 것으로 파악하고 있다. 

조사단은 “KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획”이라고 밝혔다.