CloudPNG

ºC

logo
IT/바이오

“해킹에도 영업중단 없었다”…KT, 루트킷 39종 감염에도 제재 차이 논란

윤찬우 기자
입력

통신망 해킹과 소액결제 피해가 확산된 KT 침해사고 조사 결과, 총 94대 서버에 103종의 악성코드가 감염된 것으로 드러났다. BPF도어와 루트킷처럼 시스템 깊숙이 숨어드는 고도화된 공격이었지만, 정부는 과태료와 수사의뢰 수준의 조치에 그쳤다. 상반기 유심 정보 유출 사고로 50일간 신규 영업이 중단됐던 SK텔레콤과 비교해 제재 수위가 낮다는 지적이 나오자, 정부는 “징벌이 아닌 행정적 필요에 따른 조치였다”고 선을 그었다. 통신 인프라 보안의 신뢰가 흔들린 상황에서, 사업자별 제재 기준과 사이버 보안 거버넌스를 둘러싼 논쟁이 한층 거세질 전망이다.

 

과학기술정보통신부 민관합동조사단은 29일 KT 해킹 사고에 대한 최종 조사 결과를 공개하고, KT 94대 서버에서 BPF도어, 루트킷 등 악성코드 103종을 확인했다고 밝혔다. 불법 펨토셀을 활용한 침해사고로 가입자 식별번호와 단말기 식별번호, 전화번호가 유출됐고, 이 과정에서 통신 결제를 악용한 무단 소액결제 피해 고객은 368명, 건수로는 777건, 금액은 2억4300만원으로 집계됐다.

주무부처인 과학기술정보통신부는 KT가 지난해 3월부터 7월 사이 악성코드 감염 서버를 발견하고도 신고하지 않은 점, 통신패턴 이상 징후와 외부 보안업체 점검 결과를 제때 보고하지 않은 점을 문제 삼아 3000만원 이하의 과태료를 부과할 계획이다. 동시에 KT의 허위 보고 의혹과 관련해 위계에 의한 공무집행방해 혐의로 수사기관에 수사를 의뢰했다.

 

다만 상반기 SK텔레콤 해킹 사고 때와 달리 KT에 대해서는 신규 가입 영업 중단 조치는 검토하지 않기로 했다. SK텔레콤은 올해 상반기 유심 정보 유출 사고 당시 유심 재고 부족으로 서비스 안정화를 위한 조정이 필요하다는 이유로 50일간 신규 가입자 모집이 중단됐다. 같은 통신 인프라 침해사고임에도 KT는 영업 중단이 없어 형평성 논란이 제기되자, 과기정통부는 “SK텔레콤 사례는 징벌이 아닌 당시 망 운영 여건을 고려한 조치였고, KT는 그런 상황이 아니라고 판단했다”고 설명했다.

 

이번 조사에서 확인된 공격 양상은 고도화된 루트킷과 백도어 악성코드 중심이었다. 조사단에 따르면 KT는 지난해 3월부터 7월까지 웹셸과 BPF도어 등 악성코드 감염 서버 총 41대를 내부적으로 인지하고도 신고하지 않고 자체 조치했다. 여기에는 BPF도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종이 포함됐다. 중간조사 당시 발표된 43대 감염 서버 중 2대는 추가 조사 결과 SQL 인젝션과 스캐닝 시도만 있었고 실제 악성코드는 감염되지 않은 것으로 정정됐다.

 

올해 5월 22일부터 9월 15일까지 KT가 외부 보안업체와 진행한 점검 과정에서 추가 감염 정황이 드러났다. 조사단이 해당 서버와 연계 시스템을 포렌식한 결과, 53대 서버에서 루트킷 39종, 백도어 36종, 디도스 공격용 2종 등 77종의 악성코드가 확인됐다. 루트킷은 운영체제 핵심인 커널을 조작해 악성코드를 숨기는 방식으로 탐지를 어렵게 만든다. 특히 BPF도어는 커널 내부 패킷 필터링 기능을 악용해 통신 흐름을 가로채고 은닉하는 유형으로, 앞서 화이트해커가 보안단체 프랙에 제보한 보고서에서도 언급된 바 있다.

 

류제명 과기정통부 2차관은 브리핑에서 “SK텔레콤의 BPF도어 공격 패턴과 기술적 분석을 통해 KT 사태와 유사성이 있다고 판단되나, 동일 공격자인지까지는 단정하기 어렵다”고 말했다. BPF도어 배후에 특정 국가가 있다는 관측에 대해서도 “공격 시점을 보면 BPF도어가 오픈소스 형태로 공개된 이후 공격이 이뤄진 것으로 분석된다”며 국가 차원의 공격인지, 오픈소스 도구를 활용한 제3의 공격자인지 여부는 불명확하다고 선을 그었다.

 

개인정보 유출 경로 역시 명확히 규명되지 못했다. 류 차관은 “소액결제에 필요한 개인정보가 미상의 경로로 획득됐다고만 파악된 상태”라며 “민관합동조사단만으로는 유출 경로와 방식에 한계가 있고, 개인정보보호위원회가 별도로 심층 조사할 사안”이라고 설명했다.

 

조사단에 따르면 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호와 단말기 식별번호, 전화번호가 유출됐고, 이 가운데 368명이 실제 무단 소액결제 피해를 본 것으로 나타났다. 피해 규모 산출에는 2023년 8월 1일부터 2024년 9월 10일까지 KT 기지국 접속기록 4조300억건, 통신결제 대행 기록 1억5000만건, 음성 및 문자 기록 978건, 고객 문의 30만건 이상이 활용됐다. 다만 2023년 7월 31일 이전 통신결제 관련 데이터는 보존돼 있지 않아 그 이전 피해 여부는 확인할 수 없었다.

 

서버 측 정보 유출에 대해 조사단은 일부 감염 서버에 이름, 전화번호, 이메일 등 개인정보가 저장돼 있었지만, 로그가 남아 있는 기간에는 외부 유출 정황이 포착되지 않았다고 밝혔다. 그러나 시스템 로그 보관 기간이 1~2개월에 불과하고, 주요 시스템에 방화벽 같은 보안 장비 없이 운영돼 로그 분석 자체에 구조적인 한계가 있었다는 점도 지적했다. 통신 인프라 사업자의 보안 모니터링 체계가 근본적으로 취약했다는 평가가 나오는 이유다.

 

이번 사고의 핵심 취약 지점으로는 펨토셀 관리 부실이 꼽혔다. 펨토셀은 실내 통신 품질을 보완하기 위해 설치하는 초소형 기지국 장비다. 조사단은 KT 펨토셀 관리 체계가 허술해, 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이 조성돼 있었다고 평가했다. 펨토셀 제조사는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안 장치 없이 외주 제작사에 제공했고, 펨토셀 저장장치에서도 이런 정보를 손쉽게 확인하고 추출할 수 있는 상태였다.

 

특히 KT에 납품되는 모든 펨토셀이 동일한 제조사 인증서를 사용하는 구조여서, 인증서만 복사하면 내부망 인증 서버를 통과해 KT 망에 접속이 가능했다. 인증서 유효기간도 10년으로 설정돼, 한 번 KT망에 접속한 이력이 있는 펨토셀은 장기간 지속 접속이 가능한 문제가 드러났다. 통신 구간에서는 종단 간 암호화가 유지돼야 하지만, 불법 펨토셀에서 암호화가 해제된 상태로 결제 인증 정보가 전송되는 상황도 확인됐다.

 

실제 결제 정보 탈취 흔적은 명확히 드러나지 않았지만, 조사단은 불법 펨토셀이 트래픽을 저장하거나 외부로 전송할 수 있는 기능을 갖추고 있었다고 지적했다. 더불어 아이폰 16 이하 일부 단말기에 대해서는 KT가 SMS 암호화 설정을 지원하지 않아, 문자 메시지가 평문으로 전송된 사실도 확인됐다. 이에 대해 KT는 이용자 단말기부터 코어망까지 종단 암호화가 해제되지 않도록 설정을 강화하고, 암호화 해제 여부 및 비정상 신호 트래픽에 대한 모니터링을 대폭 강화해야 하는 상황에 놓였다.

 

류 차관은 “펨토셀 관리와 관련한 인증 관리 및 각종 보안 조치를 적용한 이후로는 펨토셀을 통한 추가 침투 가능성은 없다고 판단하고 있다”며 “망 운영 과정에서 지속 모니터링을 진행 중이며, 현재까지 의심 정황이나 추가 침투 징후는 발견되지 않았다”고 강조했다. 다만 KT는 펨토셀 인증과 제품 등록을 담당하는 시스템을 방화벽 등 기본적인 보안 장비 없이 운영해 온 것으로 드러나, 구조적 보안 거버넌스 부실에 대한 비판은 피하기 어려워 보인다.

 

과기정통부는 이번 사태를 계기로 KT 내부 정보보호 조직과 책임 체계 개편을 요구했다. KT 정보보호최고책임자에게 전사 정보보호 정책을 총괄할 권한과 책임을 부여하고, 중장기 보안 업무 계획을 수립해 실행하도록 하겠다는 방침이다. 아울러 펨토셀 도입에서부터 납품, 구축, 운영에 이르는 전 과정에 대해 하드웨어와 소프트웨어를 아우르는 공급망 보안 관리 체계를 새로 만들 것을 주문했다.

 

KT의 신고 지연과 허위 보고 의혹에 대한 제재도 병행된다. KT는 지난해 3월 웹셸과 BPF도어 감염을 인지하고도 관계 당국에 알리지 않고 자체 조치를 취했다. 이후 무단 소액결제 이상 통신 패턴, 외부 보안업체 점검 결과에서 침해 흔적이 발견됐음에도 지연 신고를 한 정황이 드러났다. 과기정통부는 이런 미신고와 지연 신고 행위에 대해 최대 3000만원 수준의 과태료를 부과할 계획이다.

 

또한 프랙 보고서에 제보된 침해 정황이 있는 서버를 KT가 실제 폐기한 일자와, 당국에 보고한 일자 사이 불일치도 문제로 부각됐다. KT는 8월 1일, 6일, 13일에 순차적으로 8대 서버를 폐기했음에도, 이를 모두 8월 1일에 일괄 폐기했다고 보고한 것으로 조사됐다. 과기정통부는 이를 위계에 의한 공무집행방해로 보고 경찰에 수사를 의뢰했다.

 

앞으로의 후속 조치도 예고됐다. KT는 내년 1월까지 재발 방지 대책에 대한 구체적 이행 계획을 제출해야 하며, 과기정통부는 4월까지 이행 상황을 확인하고 6월 현장 점검을 진행할 예정이다. 사이버 침해사고가 반복되는 통신 인프라 환경에서 정부와 사업자의 보안 책임이 어디까지인지를 둘러싼 논쟁도 이어질 전망이다. 산업계에서는 통신망 보안 사고에 대한 제재 수위와 기준을 명확히 정비하지 않으면, 유사한 사고가 반복될 수 있다는 우려가 나온다. 결국 통신망 보안 수준 제고와 함께, 사업자 책임과 정부 규제, 개인정보 보호와 이용 편의 사이에서 균형점을 찾는 작업이 새로운 성장 조건으로 떠오르고 있다.

윤찬우 기자
share-band
밴드
URL복사
#kt#sk텔레콤#과학기술정보통신부