KT 침해사고의 구조적 허점을 보여주는 정부 조사 결과가 나왔다. 민관합동조사단은 KT 내부망이 불법 펨토셀에 무방비로 노출돼 수만 명의 개인정보와 결제정보가 유출됐다고 밝혔다. 이번 중간 조사에서는 인증서 관리 부실, 신고 지연, 악성코드 은폐 등 KT의 전반적 보안 관리 체계가 허술했다는 점이 확인됐다.

KT 침해사고 민관합동조사단은 6일 KT 침해사고에 대한 중간 조사결과를 발표했다. 이번 조사는 불법 펨토셀을 이용한 소액결제 피해, 국가배후 조직에 의한 인증서 유출 정황, 외부 점검 과정에서 드러난 서버 침해 등 세 가지 사안을 중심으로 진행됐다.

KT는 9월 8일 불법 기기가 내부망에 접속한 정황을 발견해 침해사고를 신고했으며, 정부는 다음 날 조사단을 구성했다. 조사 결과, KT의 망 관리 부실로 불법 펨토셀이 내부망에 손쉽게 접근할 수 있었던 것으로 드러났다.

KT는 통신기록 약 4조 건과 결제 1억5000만 건을 분석해 불법 펨토셀 20대가 가입자 2만2227명의 식별번호와 전화번호를 유출한 사실을 확인했다. 이 가운데 368명이 2억4319만 원 규모의 소액결제 피해를 입은 것으로 조사됐다.

조사단은 펨토셀 인증서가 모두 동일하고 유효기간이 10년으로 설정돼 있어 복제만으로 불법 접속이 가능했다고 밝혔다. 제조사가 인증서와 서버 정보를 외주사에 관리하게 한 점, 내부망 접속 시 비정상 IP를 차단하지 않은 점도 주요 문제로 지적됐다.

정부는 KT에 ▲인증서 유효기간 단축(10년→1개월) ▲외부 IP 차단 ▲형상정보 검증 의무화 ▲제품별 개별 인증서 발급 등을 시정 조치토록 했다.

조사단은 또한 불법 펨토셀이 암호화 구간을 해제하면 결제 인증정보(ARS, SMS)를 평문으로 탈취할 수 있다는 점을 실험을 통해 확인했다. 향후 음성통화 및 문자 탈취 가능성에 대해서도 추가 검증을 진행한다.

조사단은 KT 내부 서버 43대에서 BPFDoor, 웹셸 등 악성코드 감염 이력이 있었음에도 KT가 이를 당국에 신고하지 않고 자체 조치한 사실을 확인했다. 일부 감염 서버에는 성명, 전화번호, 이메일 등 개인정보가 저장돼 있었다.

KT는 이번 사고 또한 신고 의무를 지연했다. 경찰로부터 이상 결제 정황을 통보받고 9월 5일 차단 조치를 취했으나, 정식 신고는 사흘 뒤인 9월 8일에 이뤄졌다. 정보통신망법상 최대 3000만 원 이하 과태료 부과 대상에 해당한다.

조사단은 8월 8일 공개된 '프랙 보고서'에서 언급된 인증서 유출 의혹과 관련해, KT가 서버 폐기 일자를 허위 보고하고 백업 로그 존재 사실을 뒤늦게 제출한 점을 확인했다. 조사단은 이를 고의적인 조사 방해 행위로 보고 형법 제137조(위계에 의한 공무집행방해) 위반 혐의로 수사를 의뢰했다.

또한 KT는 9월 15일 외부 점검 과정에서 내부 서버 침해 흔적을 발견하고도 3일이 지난 18일에야 신고했다. 조사단은 관련 서버를 포렌식 분석해 보안 취약점을 추가로 규명할 예정이다.

조사단은 경찰과 협력해 압수된 불법 장비를 분석 중이며, 개인정보보호위원회와 함께 피해자 개인정보 유출 경위를 조사하고 있다.

과기정통부는 "최종 조사결과를 투명하게 공개하고, KT의 관리 부실 및 법 위반 사항을 법률 검토를 거쳐 제재 여부와 위약금 면제 가능성까지 검토할 것"이라고 밝혔다.