[더구루=홍성일 기자] KT가 지난해 서버가 악성 코드에 감염된 것을 확인하고도 당국에 신고하지 않은 것으로 확인됐다. 또한 무단 소액결제 사건의 원인이 된 초소형 기지국(펨토셀) 관리 체계도 부실했다는 점이 확인돼 논란이 커질 것으로 보인다.

과학기술정보통신부(이하 과기정통부)는 6일 KT 침해사고 민관합동조사단의 중간 조사결과를 발표했다. 합동조사단은 지난 9월 8일 KT가 침해 사실을 한국인터넷진흥원(KISA)에 신고한 다음날인 9일 구성됐다. 합동조사단은 구성 이후 불법 펨토셀에 의한 무단 소액결제 사건, KT 인증서 유출 정황, KT가 외부업체와 진행한 보안 점검 과정에서 발견한 침해 사례 등을 조사해왔다.

합동조사단의 조사 결과 그동안 알려지지 않았던 KT의 은폐 정황이 확인됐다. 합동조사단이 서버 포렌식 분석을 하는 과정에서 KT가 악성코드에 감염된 사실을 정부에 보고하지 않은 사실이 확인된 것이다.

합동조사단에 따르면 KT는 지난해 3월부터 7월까지 BPF도어, 웹셸 등 악성코드에 감염된 서버 43대를 발견했으며, 정부 신고없이 자체 처리했다. BPF도어는 은닉성이 매우 강한 악성코드로, 올해 초 발생한 SK텔레콤 해킹 사례에서도 큰 피해를 준 바 있다. KT가 BPF도어 감염 사실을 은폐하며 SK텔레콤 사태 이후 진행된 당국의 감염여부 조사에서도 피해 사실이 발견되지 않았던 것으로 알려졌다.

또한 조사단은 무단 소액결제 사건의 원인이 된 펨토셀에 대해서도 KT의 관리체계가 부실했다고 지적했다. 불법 펨토셀로 KT 내부망에 쉽게 접속할 수 있는 환경이었다는 것.

조사결과에 따르면 KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용했다. 즉 해당 인증서를 복사할 경우 불법 펨토셀을 제작해 KT망에 쉽게 접속할 수 있었다는 것이다. 심지어 KT 인증서는 유효기간이 10년으로 한 번만 KT망에 접속하면 지속적으로 접근이 가능했던 것으로 확인됐다.

KT 펨토셀 제조사의 경우에도 셀ID, 인증서, 서버 인터넷프로토콜(IP) 등 중요정보를 보안관리 없이 외주사에 제공했을 뿐 아니라 제작된 펨토셀 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었던 것으로 나타났다. KT도 내부망에서 접속하는 펨토셀이 비정상 IP인지, 등록된 펨토셀인지도 확인하지 않았다.

조사단은 해커들이 불법 펨토셀을 이용해 종단 암호화를 해제할 수 있었던 것으로 분석했다. 그러면서 종단 암호화가 해제되면 불법 펨토셀이 ARS, 문자 등 인증정보를 평문으로 획득할 수 있을 것으로 보고있다고 전했다.

이외에도 조사단은 KT가 인증서 유출과 관련해 서버 폐기 시점을 허위보고하고, 폐기 서버 로그가 있었음에도 9월 18일까지 보고하지 않은 점도 확인했으며, 무단 소액결제와 관련해 기지국 접속 이력이 없는 피해도 파악한 것으로 전해졌다.

업계는 중간 조사결과를 바탕으로 당국이 KT에도 SK텔레콤과 같이 위약금 면제 조치를 요구할 것으로 전망하고 있다. KT는 그동안 "민간 합동 조사결과를 보고 결정하겠다"는 입장을 유지해왔다.

과기정통부는 "과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 말했다.