펨토셀 관리 허술하고 악성코드 신고도 안 해…정부, KT 엄정 조치 전망
||2025.11.06
KT, 인증서 유효기간 10년 방치…불법 펨토셀도 내부망 접속 가능
BPFDoor 감염 서버 43대 자체 삭제 후 미신고
지연 신고·폐기시점 허위 보고 등 ‘보고 절차 위반’ 잇따라
LG유플러스도 APPM 서버 외 추가 조사 착수
KT의 펨토셀(초소형 기지국) 인증 관리가 부실했으며, 외부 기관이 이를 발견했음에도 침해 사고를 늑장 신고한 것으로 드러났다.
과거 악성코드를 발견하고도 정부에 신고하지 않은 채 자체 처리한 사실도 확인됐다. ‘망 관리 부실’과 ‘보고 절차 위반’이 결합된 대표 사례로, 정부는 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 판단할 방침이다.
불법 펨토셀에 의한 소액결제 및 개인정보 유출 사고
KT 침해사고 민관합동조사단은 6일 ‘KT 침해사고에 대한 중간 발표’를 통해 이같이 밝혔다.
조사단은 불법 펨토셀로 인한 피해 현황, KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점, 소액결제 인증정보(ARS, SMS) 탈취 시나리오, 과거 BPFDoor 등 악성코드 발견 및 조치 사실, 침해사고 신고 지연 등 법령 위반사항을 확인했다.
KT는 통신기록이 남아있는 2024년 8월 1일~2025년 9월 10일 간 모든 기지국 접속 이력 약 4조300억건 및 모든 KT 가입자의 결제 약 1억5000만건 등 확보 가능한 모든 데이터를 분석했다.
이를 통해 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐으며, 368명(2억4319만원)의 소액결제 피해를 지난달 17일 발표했다.
다만 통신기록이 없는 2024년 8월 1일 이전 피해에 대해서는 파악이 불가능했으며, 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다.
추가 피해 가능성에 대해 최우혁 과기부 네트워크정책실장은 "KT 조사 방식이 옳았는지 한 번 검증을 했다"면서 "그 방식대로 제대로 돌렸는지를 다시 한 번 돌려보며 혹시라도 누락은 없는지 꼼꼼하게 체크하겠다"고 말했다.
이동근 KISA 디지털위협대응본부장은 기지국 접속 이력이 남지 않은 소액결제 피해해에 대해 "기지국에 접속 기록이 없을 뿐, 실제는 기지국에 붙었기 때문에 결제가 일어난 건 맞다"면서 "접속기록이 없더라도 어떤 결제 패턴이라든지 여러 가지 고려 사항들, 아니면 불법 기지국의 위치라든지 그때 시공간상에서의 어떤 피해자의 위치라든지 그런 것들을 다 고려해서 피해자를 최대한 식별했다고 보면 된다"고 설명했다.
KT, 불법 펨토셀로 내부망 뚫려
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었던 점도 확인했다. 최우혁 과기부 네트워크정책실장은 "소액(무단결제) 문제점은 펨토셀을 메인으로 보고 있다"고 말했다.
KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했다.
또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.
조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능한 점도 확인했다.
KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 9월 10일 전면 제한하는 한편, KT에 ▲펨토셀이 발급받은 통신사 인증서 유효 기간 단축(10년 → 1개월) ▲펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단(9월 23일) ▲펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증(10월 3일∼) ▲펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치했다.
불법 펨토셀, 종단 암호화 해제 땐 인증정보 평문 노출
KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다.
조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.
이동근 본부장은 "종단 간 암호가 해제되는 경우는 굉장히 이례적인 케이스"라며 "제조건은 불법 펨토셀이 결국 중간에서 스마트폰하고 KT 코어망에서 연결되는 중간에서 그런 역할을 했다는 것"이라고 말했다.
불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나가기로 했다.
조사에 시간이 걸리는 이유에 대해 최우혁 실장은 "압수물은 경찰이 압수한 고유물"이라며 "경찰의 동의와 과정들이 필요하기 때문에 시간이 걸린다"고 말했다.
이어 "현재는 수시로 공조를 해 내용물을 눈으로 확인하거나, 포렌식을 하고 있다"고 덧붙였다.
조사 과정에서 유심 인증키 해킹은 파악되지 않았다고 밝혔다.
이동근 KISA 디지털위협대응본부장은 "유심 복제나 필요한 인증키가 유출된 정황은 아직까지 발견되지 않았다"면서도 "이번에 여러 추가 사고가 발견돼 관련성이 있는지 면밀하게 살펴볼 것"이라고 말했다.
펨토셀을 통한 패킷 감청 가능성도 제기됐다. 패킷 감청은 통신망을 오가는 데이터 조각(패킷)을 중간에서 가로채 내용을 들여다보는 행위를 뜻한다.
이에 대해 최우혁 실장은 "조사가 좀 더 필요한 영역"이라며 "테스트가 정리되면 말씀드릴 수 있을 것"이라고 답했다.
악성코드 감염 서버 43대 확인…KT, 정부 신고 없이 자체 조치
조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실도 확인했다.
KT는 2024년 3∼7월 BPFDoor, 웹셸 등 악성코드 감염 서버 43대를 발견하고 정부에 신고 없이 자체적으로 조치했다. 이들 중 일부 감염서버에 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다고 조사단에 보고했다.
최우혁 과기부 네트워크정책실장은 "조사단이 포렌식하면서 발견한 사항"이라며 "포렌식을 하면서 BPFDoor를 발견한 것이 아니라 BPFDoor는 지워져 있었고 이를 갖다가 스크립트를 돌리는, 백신을 돌린 흔적을 발견한 것"이라고 설명했다.
이어 "이 흔적이 무슨 상황이냐 물어보니 그 당시의 (KT) 자료가 올라오기 시작했다"면서 "5월 (전수) 조사할 때는 이미 BPFDoor는 다 지워진 상태였다"고 말했다.
조사단이 BPFDoor 검출 스크립트(백신) 실행 흔적을 포렌식 과정에서 확인하면서, KT가 과거 BPFDoor 등 악성코드를 발견하고 자체 조치한 사실을 인지하게 됐다는 설명이다.
이로 인해 5월 전수조사 당시에는 BPFDoor가 이미 삭제된 상태여서 정부가 해당 사실을 파악하지 못한 것으로 풀이된다.
조사단은 이번 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획이다.
최 실장은 "서버 폐기 부분은 조사가 필요하다"면서 "소액결제 개인정보가 필요한 부분하고 연계성 있는지, 없는지도 정밀하게 저희가 조사하고 확인이 필요하다"고 설명했다.
이어 "SKT도 2022년도 침해 사고가 있었던 것을 포렌식 과정에서 발견한 사실이 있다"고 덧붙였다.
KT는 지난 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 차단 조치(9월 5일 새벽 3시)했음에도, 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일(오후 7시 16분)에 침해 사고를 지연신고했다.
지연신고는 정보통신망법 상 3000만원 이하 과태료 부과 대상이다.
KT, 인증서 유출 서버 폐기 시점 허위 보고…조사단 수사 의뢰
프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해 KT는 8월 1일 관련 서버를 폐기했다고 KISA에 답변했으나, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기시점을 당국에 허위 제출했다.
KT는 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다.
조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단, 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.
최우혁 실장은 "형법상(위계에 의한 공무집행 방해)으로 문제제기를 한 것이어서, 수사 의뢰 이후에는 형법상 처벌이 있을 것"이라고 설명했다.
프랙보고서에 게재된 LG유플러스 역시 상황을 면밀히 보고 있다고 밝혔다.
최 실장은 "서버, 내용, 로그 등을 정밀하게 보고 있다. 진전이 생기면 동일한 발표하겠다"고 말했다. 이동근 KISA 디지털위협대응본부장도 "민관합동조사단이 구성돼 살펴보고 있다. APPM 서버 외에 추가로 관련된 서버 등을 정밀하게 살펴보겠다"고 설명했다.
침해사고 지연신고·보안 허점 드러나…정부 "위약금 면제 사유 여부 검토"
KT는 외부 업체를 통한 보안점검 결과를 통해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나, 9월 18일(오후 11시 57분)에야 당국에 침해사고를 지연신고했다. 정부는 향후 침해 관련 서버에 대한 포렌식 분석을 통해 사고 원인 및 KT의 보안 취약점을 도출할 계획이다.
조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중에 있으며, 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지도 조사할 방침이다.
과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
최우혁 실장은 "어느 정도 조사를 진행한 후 SKT처럼 법률 자문을 적정 시점에 받아 최종적으로 말씀드리겠다"고 말했다.
©(주) 데일리안 무단전재 및 재배포 금지
