KT, 작년 서버 해킹 알고도 은폐 “송구하다”...全 가입자 위약금 면제 가나

[컨슈머와이드-강진일 기자] KT가 지난해 서버 해킹을 알고도 은폐한 것으로 드러났다. 정부는 엄중 조치를 에고했다. KT는 악성코드 침해 사실인지 후 정부에 신고하지 않았던 것 등에 송구하다는 입장을 내놨다. 통신 보안 및 책임 가치소비가 무엇보다 중요하지는 시기다.

6일 KT 해킹 사고 민관 합동 조사단이 발표한 중간 조사 결과에 따르면, KT는 지난해 3∼7월 BPF도어(BPFDoor), 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 신고하지 않고 은폐한 것으로 확인됐다. 감염서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등의 가입자 개인정보가 저장돼 있었던 것으로 확인됐다.

또한 불법 펨토셀에 의한 소액결제 및 개인정보 유출과 관련해 초소형 기지국(펨토셀) 운영 및 내부망 접속 과정에서 보안 문제점도 드러났다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었다. 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었다. 인증서 유효기간도 10년으로 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속해 접속이 가능한 것으로 확인됐다. 또한 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공해 펨토셀 저장 장치에서 해당 정보를 쉽게 확인, 추출할 수 있었다. 또 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았던 것으로 밝혀졌다. 아울러 KT가 단말과 기지국 간, 단말과 코어망 간 종단 암호화를 하고 있었지만, 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었던 것으로 드러났다. 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있다.

과학기술정보통신부는 KT의 허술한 펨토셀 관리, 해킹 은폐 의혹 등 관련된 조사 결과를 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 발표할 계획이다.

이날 KT는“민관합동조사단의 중간 조사 결과를 엄중하게 받아들인다”면서 “악성코드 침해 사실인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다”고 밝혔다.

그러면서 “정부 합동조사단 및 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다할 방침”이라면서 “네트워크 안전 확보와 고객 보호조치에 총력을 다하겠다”고 덧붙였다.