불법 펨토셀 ID 확인 후 침해 사고 지연 신고 서버 폐기 시점도 거짓···세차례에 걸쳐 8대 폐기늑장·거짓 보고, 고의성 다분···수사기관에 수사 의뢰
);)
과학기술정보통신부는 6일 이 같은 내용의 민관합동조사단(이하 조사단) KT 침해사고 중간 조사결과를 발표했다.
KT는 올해 9월 1일 경찰로부터 특정 지역 무단 소액결제 발생 사실을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 신호 패턴을 발견해 9월 5일 차단 조치했다. 이후 9월 8일 침해 사고를 신고했다. 불법 펨토셀 ID의 존재를 확인한 후 침해 사고를 지연 신고한 것이다.
외부 업체를 통한 보안 점검을 통해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나, 9월 18일에 당국에 지연 신고했다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다.
이보다 앞선 8월 8일 해외 보안 매체 '프랙(Phrack)'에 언급된 국가 배후 조직에 의한 KT 인증서 유출 정황과 관련해 KT는 같은 달 1일 서버를 폐기했다고 KISA에 알렸으나, 이 또한 실제로는 거짓이었던 것으로 드러났다. 과기정통부에 따르면 KT는 ▲8월 1일(2대) ▲8월 6일(4대) ▲8월 13일(2대) 세 차례에 걸쳐 관련 서버를 폐기하고 폐기 시점을 당국에 허위로 제출했다.
조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있었다고 판단해 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.
초소형 기지국(펨토셀) 관리 체계 역시 전반적으로 부실했다고 봤다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속 가능한 환경이었던 것으로 확인됐다.
KT 인증서의 유효기간이 10년으로 지나치게 길게 설정돼, 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다고 설명했다.
KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 지식재산권(IP) 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다고 밝혔다.
조사단은 불법 펨토셀 접속 차단을 위해 통신3사의 신규 펨토셀 접속을 전면 제한(9월 10일)했다. 또, KT에 ▲펨토셀의 통신사 인증서 유효기간 단축(10년 → 1개월, 9월 10일) ▲펨토셀 망 접속 요구 시 KT 유선 IP 외 전면 차단(9월 23일) ▲펨토셀 형상정보 확인 및 인증(10월 3일) ▲펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치토록 했다.
조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했으며, 이를 신고하지 않고 자체 처리했다는 사실도 발견했다. KT는 지난해 3월부터 7월까지 BPFDoor, 웹셸 등 악성코드 감염 서버(43대)를 발견해 정부에 신고 없이 자체적으로 조치하고, 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있음을 조사단에 보고했다.
한편, 과기정통부는 국민 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 9월 9일부터 조사단을 구성해 운영하고 있다.
조사단은 ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 ▲국가배후 조직에 의한 KT 인증서 유출 정황 ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 사고원인을 분석했다.
과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
뉴스웨이 강준혁 기자
junhuk210@newsway.co.kr
저작권자 © 온라인 경제미디어 뉴스웨이 · 무단 전재 및 재배포 금지
);){kind=link}
댓글