또 드러난 KT 거짓말 … 작년 악성코드 발견하고도 '삭제·은폐' 들통났다

KT의 거짓말이 다시 들통났다. 지난해 자체 서버 43대에서 BPFDoor, 웹셸 등의 악성코드를 발견했음에도 즉각 신고는커녕 자체적으로 삭제하고 은폐했던 흔적이 민관합동조사단에 의해 드러난 것이다. 조사단은 이 악성코드 감염을 통해 개인정보가 유출됐을 가능성도 배제하지 않고 있다. 그동안 KT는 자체 해킹이나 악성코드 감염에 대해 일체 부정해왔다.

6일 민관합동조사단은 서울 정부청사에서 중간조사 발표 브리핑을 진행했다. 

조사단에 따르면 KT는 지난해 3월에서 7월 기간 동안 서버 43대에서 BPFDoor, 웹셸 등의 악성코드를 발견했음에도 정부에 신고 없이 자체적으로 조치, 은폐했다고 밝혔다.

이들 악성코드는 지난 4월 SK텔레콤 해킹 사건 조사 당시에 발견됐던 악성코드로 유심 정보 유출의 직접적인 원인이 됐던 것이다. 당시 정부는 KT와 LG유플러스에서 서버 전수 검사를 진행했지만 관련 흔적을 찾지 못했다. 이미 은폐된 이후였기 때문이라는 것이 조사단의 설명이다.

최우혁 과학기술정보통신부 네트워크정책실장은 “5월 KT 서버 전수조사 과정에서는 이미 삭제가 돼 악성코드를 발견할 수 없었지만 악성코드 백신을 돌려 BPFDoor를 검출한 흔적을 찾았다”며 “이게 무슨 상황이냐고 KT에 물어보니 이제야 자료들이 올라오기 시작했다”고 설명했다.

최근 조사단이 백신 스크립트를 찾은 이후에야 KT가 당시 악성코드 감염 당시 자료를 내놓기 시작했다는 이야기다. 그동안 KT는 악성 코드에 감염된 적이 없다는 입장을 고수해왔다. 해당 서버는 총 43개로 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 개인정보가 저장돼 있었다. 

최 실장은 “현재 KT의 악성코드를 확인한 지 얼마 되지 않았고 지금 자료를 받아 분석해 봐야 한다”며 “무단 소액결제 사건의 개인정보가 연계성이 있는지도 정밀하게 조사하고 확인이 필요하다”고 말했다.

이어 “악성코드에 감염된 서버 43대도 KT가 우리에게 보고한 것으로 철저한 검증 필요하다”며 “과정상으로는 서버에 대해 확인하고 어떤 내용이 있는지 포렌식 한 이후 말씀드릴 수 있다”고 덧붙였다. 

이는 최근 KT 무단 소액결제 사건에서 개인정보 유출에 대한 단초가 될 것이라는 전망이 나온다. 불법 펨토셀을 활용하는 것만으로는 소액결제가 불가능하기 때문이다. 개인정보 탈취 경로는 현재까지 전혀 드러나지 않았다. 

이 외에 KT의 허술한 펨토셀 관리 문제점도 이번 조사 과정에서 드러났다. KT에 납품되는 펨토셀이 모두 동일한 인증서를 쓰고 있어 이를 복사하면 손쉽게 불법 펨토셀을 만들 수 있었기 때문이다. 또한 인증서 유효기간이 10년이나 됐고 내부망에서 해외IP 등 비정상 IP를 차단하지 않았다. 

조사단은 소액결제 인증정보 탈취 과정에 불법 펨토셀을 활용했을 가능성을 높게 보고 있다. KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있어 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 확인했기 때문이다. 조사단은 인증정보 뿐 아니라 문자, 음성통화 탈취 가능성도 열어두고 조사를 진행할 계획이다.

최 실장은 “현재 압수된 불법 펨토셀은 경찰의 고유물로 활용하고 분석하는 과정에 있어 경찰의 행정적 절차가 필요해 상당한 시간이 필요하다”며 “현재는 수사공조로 그 내용물을 눈으로 확인하고 포렌식 하는 과정에 시간이 걸리고 있다”고 전했다.

한편, 이번 중간 조사 결과 발표로 KT에 대한 신뢰는 상당한 타격이 불가피해질 전망이다. KT는 무단 소액결제 사건 발생 이후 수차례 피해자, 피해액을 정정하면서 사건을 축소하려했다는 의혹에 시달려왔다. 김영섭 KT 대표는 최근 일련의 과정에 책임을 지고 연임을 포기한다고 밝히기도 했다.