CloudPNG

ºC

logo
IT/바이오

“펨토셀 악용한 KT 해킹”…정부, 2억대 피해 확인 파장

신민재 기자
입력

펨토셀 보안 구멍을 악용한 KT 해킹 사고가 정부 합동조사에서 사실로 확인됐다. 정부는 KT 기간통신망 서버 94대에서 은닉형 악성코드를 포함한 103종의 악성코드 감염을 확인했고, 불법 펨토셀을 거점으로 한 무단 소액결제 피해가 최소 2억4300만원에 이르는 것으로 파악했다. 5G와 LTE 코어망이 연결된 기간통신 인프라에서 대규모 악성코드 감염과 인증체계 관리 부실이 동시에 드러나면서, 통신망 보안 패러다임을 전면 재점검해야 한다는 지적이 나온다. 업계에서는 이번 사건을 통신 3사의 보안 경쟁력 재정립 분기점으로 보는 시각이 확산되고 있다.

 

과학기술정보통신부 민관합동조사단은 29일 KT 침해사고 최종 조사결과를 발표했다. 조사단은 KT 전체 서버를 대상으로 점검과 포렌식을 진행한 결과, 기지국·코어망과 연동된 서버 94대에서 BPF도어, 루트킷, 웹셸, 원격제어형 악성코드 등 총 103종의 악성코드 감염을 확인했다. 기간통신사업자의 핵심 인프라에서 다양한 유형의 악성코드가 장기간 잠복·확산된 사례가 공식 확인된 셈이다.

KT는 이미 지난해 3월부터 7월 사이 일부 서버에서 악성코드를 발견했음에도 과기정통부에 신고하지 않고 자체 조치한 것으로 드러났다. 조사단에 따르면 KT가 당시 파악한 악성코드 감염 서버는 41대로, BPF도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 총 26종의 악성코드가 포함됐다. 중간조사에서 발표됐던 43대 감염 서버 중 추가 분석 결과 2대는 실제 악성코드 감염 없이 SQL인젝션과 스캐닝 공격 시도만 있었던 것으로 정정됐다.

 

이어 KT가 올해 5월 22일부터 9월 15일까지 외부 보안업체와 함께 진행한 점검 과정에서는 훨씬 더 광범위한 침해 흔적이 드러났다. 당시 침해 정황이 발견된 서버와 연계 서버들에 대한 포렌식 결과 총 53대 서버가 추가로 악성코드에 감염된 것이 확인됐다. 이들 서버에서는 커널 영역을 변조해 자신을 숨기는 루트킷 39종, 원격 접속 통로를 여는 백도어 36종, 디도스 공격형 악성코드 2종 등 77종이 추가로 발견됐다.

 

특히 루트킷은 운영체제 핵심인 커널을 조작해 악성코드 존재를 은폐하는 고급 공격 기법이다. 조사단은 이번에 확인된 루트킷 중 일부가 BPF도어처럼 시스템 호출을 가로채 악성 트래픽을 감추는 은닉형 악성코드에 해당한다고 설명했다. 해당 유형은 앞서 화이트해커가 보안 커뮤니티 프랙에 제보한 보고서에서 KT 침해 정황과 함께 언급됐던 것으로, 정부 조사 결과 제보 내용 상당 부분이 사실로 확인된 셈이다.

 

불법 펨토셀을 활용한 해킹으로 인한 직접 피해 규모도 공식 집계됐다. 조사단에 따르면 KT 가입자 2만2227명의 가입자 식별번호 IMSI, 단말기 식별번호 IMEI, 전화번호 정보가 불법 펨토셀을 통해 외부로 유출됐다. 이 가운데 최소 368명 고객이 777건의 무단 소액결제로 총 2억4300만원의 재산 피해를 입은 것으로 확인됐다. 통신망을 경유한 결제 인증 과정이 악용된 전형적인 통신 결제 탈취 사례라는 평가다.

 

피해 규모는 방대한 로그 분석을 통해 산출됐다. 조사단은 지난해 8월 1일부터 올해 9월 10일까지의 KT 기지국 접속기록 4조300억건, 통신결제대행 기록 1억5000만건, 음성·문자 트래픽 978건, 고객문의 30만건 이상을 교차 분석해 불법 펨토셀을 경유한 결제 이상 패턴을 추적했다. 다만 통신결제 관련 로그가 보관되지 않은 지난해 7월 31일 이전 구간은 데이터 부재로 추가 피해 여부 확인이 불가능한 상태다.

 

개인정보 유출 범위에 대해서도 일정 부분 한계가 제기됐다. 조사단은 일부 감염 서버에서 이름, 전화번호, 이메일 등 개인정보가 저장돼 있었지만, 로그가 남아 있는 기간에 한해 정밀 분석한 결과 명확한 유출 정황은 발견하지 못했다고 밝혔다. 그러나 서버 내부 파일 접근과 실행, 오류 등을 기록하는 시스템 로그 보관 기간이 1~2개월에 불과했고, 주요 시스템에 방화벽 등 보안 장비를 제대로 구축하지 않아 로그 기반 추적에 구조적 한계가 있었다는 설명을 덧붙였다. 로그가 존재하지 않는 기간에 이뤄진 잠재적 유출은 확인 자체가 불가능한 상황이다.

 

침해사고의 출발점으로 지적된 펨토셀 관리 체계는 사실상 총체적 부실 상태로 드러났다. 펨토셀은 실내나 음영 지역에서 모바일 통신 품질을 높이기 위해 설치하는 소형 기지국 장비다. 조사단 분석에 따르면 KT용 펨토셀을 제작한 제조사는 셀ID, 인증서, KT 서버 IP 같은 핵심 정보를 체계적 보안 통제 없이 외주 제작사에 제공했고, 펨토셀 내부 저장장치에서는 이러한 정보를 손쉽게 확인·추출할 수 있었다.

 

더 큰 문제는 인증 구조의 단순성과 장기 사용 관행이다. KT에 납품된 모든 펨토셀 제품이 동일한 제조사 인증서를 공유하고 있어, 한 번 인증서를 탈취하면 복제만으로 KT 내부망 인증 서버를 통과해 망에 접속할 수 있었다. 여기에 KT 인증서 유효기간이 10년으로 설정돼 있어, 한 번 KT망에 접속 이력이 생긴 펨토셀은 오랜 기간 재인증 과정 없이 내부망 접속을 지속할 수 있는 구조적 취약점이 노출됐다.

 

암호화 설정 문제도 심각한 수준으로 나타났다. 통신 과정에서 결제 인증정보와 문자 내용 등 민감 정보는 종단 간 암호화 상태가 유지돼야 하지만, 일부 구간에서 불법 펨토셀을 거치면서 암호화가 해제된 채 평문으로 전송되는 구조가 확인됐다. 조사단은 실제로 결제 인증정보가 탈취된 명시적 로그는 발견하지 못했으나, 불법 펨토셀 장비 자체에 트래픽 저장 및 외부 전송 기능이 구현돼 있음을 확인했다. 기술적으로는 결제·문자 정보를 중간에서 수집할 수 있는 환경이 존재했음을 의미한다.

 

특히 아이폰 16 이하 일부 단말기의 경우 KT가 단말기에서 코어망까지의 종단 암호화인 IPSec 설정을 지원하지 않아 SMS가 평문으로 전송되는 문제가 드러났다. 암호화 미지원 단말 구간이 악성 펨토셀에 노출될 경우, 문자 인증번호와 같은 민감 정보가 평문 상태로 중간자 공격에 취약해지는 구조다. 조사단은 KT에 대해 이용자 단말에서 코어망까지 IPSec 구간이 끊기지 않도록 암호화 설정을 전면 재점검하고, 종단 암호화 해제 여부와 비정상 신호 트래픽 유입을 실시간 모니터링하는 체계를 강화하라고 권고했다.

 

서버 영역에서도 관리 부실은 곳곳에서 확인됐다. KT는 정기 보안 점검 과정에서 고급 은닉형 악성코드뿐 아니라 비교적 쉽게 탐지 가능한 웹셸마저 장기간 탐지하지 못했다. 펨토셀 인증과 제품 등록을 담당하는 핵심 시스템을 외부 방화벽이나 침입차단 시스템 없이 운영해 온 점도 드러났다. 통신 3사 중에서도 펨토셀 공급망과 인증 인프라 전반에 대한 체계적 위협 모델링과 보안 설계가 취약했다는 분석이 나온다.

 

과기정통부는 KT의 정보보호 거버넌스에도 손질이 필요하다고 판단했다. 우선 KT 정보보호최고책임자 CISO가 전사 정보보호 정책을 일원화해 총괄 관리하도록 조직을 개편하고, 사업부별 산발적 보안 대응이 아니라 그룹 차원의 중장기 보안 로드맵을 수립해야 한다고 주문했다. 또한 펨토셀 도입 단계부터 납품, 구축, 운영 전 과정에 걸쳐 하드웨어와 소프트웨어 공급망 보안 관리 체계를 새로 구축하도록 권고했다. 공급망 단계에서 펨토셀 인증서 관리, 펌웨어 검증, 외주사 개발 코드 검증 등을 의무화하라는 취지다.

 

KT의 신고 지연과 허위 보고에 대해서는 별도 제재 절차도 진행된다. KT는 지난해 3월 웹셸과 BPF도어 등 악성코드를 발견하고도 법정 신고 없이 자체 조치만 시행했다. 이후 무단 소액결제 이상 통신 패턴이 다수 발생하고, 외부 보안업체 점검에서 침해 흔적이 확인됐음에도 당국 통보가 지연된 정황이 확인됐다. 과기정통부는 이러한 미신고 및 지연 신고 행위에 대해 관련 법령에 따라 3000만원 이하 과태료 부과를 예고한 상태다.

 

또한 프랙에 제보됐던 침해 정황과 연관된 서버 폐기 시점 허위 보고 건은 형사 사안으로 번졌다. KT는 침해 정황이 있는 서버 8대를 8월 1일, 6일, 13일에 나눠 폐기했음에도 전체를 8월 1일에 일괄 폐기했다고 보고한 것으로 조사됐다. 수사당국은 이를 위계에 의한 공무집행방해 혐의로 보고 현재 수사를 진행 중이다. 통신 인프라 보안 사고에서 기업의 투명한 보고 의무를 법 집행 차원에서 문제 삼는 첫 사례로 주목된다.

 

정부는 재발 방지책 이행 여부를 중장기 일정으로 관리한다는 방침이다. 과기정통부는 KT가 이번 조사 결과를 바탕으로 재발 방지 대책과 세부 이행계획을 내년 1월까지 제출하도록 하고, 내년 4월까지 실제 이행 여부를 점검해 같은 해 6월 최종 평가를 실시하기로 했다. 펨토셀 인증 구조 개선, 암호화 구간 전면 점검, 서버 보안 장비 확충, 로그 보존 기간 확대 등이 핵심 과제로 거론된다.

 

이번 사고는 국내 통신 산업 전반의 보안 수준을 되돌아보게 하는 계기가 되고 있다. 앞서 SK텔레콤과 LG유플러스에서도 대규모 침해 사고가 연달아 발생한 바 있어, 통신 3사 모두 기간통신망 보안 설계와 운영을 근본적으로 재구축해야 한다는 목소리가 나온다. 해외에서는 미국, 유럽 통신사들이 5G 도입과 함께 기지국 가상화, 네트워크 슬라이싱 확대에 맞춰 펨토셀과 소형 기지국에 대한 제로트러스트 기반 인증 구조와 원격 업데이트 검증 절차를 강화하는 추세다. 한국 통신사들도 이와 같은 글로벌 수준의 공급망·망연계 보안을 적용해야 한다는 지적이 이어진다.

 

전문가들은 특히 5G 이후 통신망이 AI, 클라우드, 금융·헬스케어 서비스와 긴밀히 연결되면서, 통신 인프라의 보안 수준이 곧 국가 디지털 경쟁력의 바닥선이 되고 있다고 강조한다. 이번 KT 사건처럼 펨토셀 한 축이 뚫려도 기지국과 결제 시스템, 고객 데이터까지 연쇄 침해가 일어날 수 있는 만큼, 망 설계 단계에서부터 최악의 공격 시나리오를 가정하는 위협 기반 보안 아키텍처 수립이 필수라는 분석이다.

 

배경훈 부총리 겸 과기정통부 장관은 국가 기간망 차원의 엄중함을 재차 언급했다. 배 부총리는 KT, LG유플러스 침해사고를 SK텔레콤 사고와 함께 국가 핵심 기간통신망의 보안 허점이 반복적으로 드러난 사안이라고 규정하며, 통신 기업들이 정보보호를 선택이 아닌 생존 조건으로 인식해야 한다고 강조했다. 또 우리나라가 AI 3대 강국으로 도약하려면 정보보호 역량 고도화가 전제돼야 한다고 지적하며, 국민이 혁신적 AI 기반 통신·디지털 서비스를 안심하고 이용할 수 있는 환경 조성을 위해 제도와 기술 측면에서 지원을 강화하겠다고 밝혔다.

 

산업계에서는 이번 조사가 통신 3사에 대한 전면 보안 감사와 규제 강화로 이어질 수 있다고 보고 있다. 통신사의 투자 우선순위가 설비 확충에서 보안과 공급망 관리로 이동할 가능성도 거론된다. 통신망이 금융, 의료, 제조, 공공 인프라와 연결된 허브인 만큼, 보안 허점을 어떻게 메우느냐가 향후 디지털 경제 전반의 신뢰도와 직결될 것으로 관측된다. 결국 통신망 보안 강화와 규제, 기업의 책임성 제고가 균형을 이루는 구조가 새 성장의 전제가 되고 있다는 평가가 나온다.

신민재 기자
share-band
밴드
URL복사
#kt#과학기술정보통신부#펨토셀