[마이데일리 = 박성규 기자] KT가 지난해 자사 서버가 악성코드에 대규모 감염된 사실을 알고도 당국에 신고하지 않고 자체 조치에 그친 정황이 드러났다. 정부는 이를 은폐 행위로 보고 법적·행정적 조치를 예고했다.
6일 정부서울청사에서 열린 민관 합동조사단 중간 발표에 따르면, KT는 지난해 3월부터 7월 사이 ‘BPF도어’와 ‘웹셸’ 등 악성코드에 감염된 서버 43대를 자체 발견했지만 관련 사실을 과학기술정보통신부나 한국인터넷진흥원(KISA)에 보고하지 않았다.
BPF도어는 올해 초 SK텔레콤 해킹 사건에서도 피해를 일으킨 고도화된 백도어 악성코드로, 감염 사실을 은폐할 경우 보안 리스크가 장기화될 가능성이 크다.
조사단은 “KT가 감염 사실을 인지하고도 신고하지 않은 것은 중대한 문제”라며 “사실관계를 면밀히 규명하고 관계기관에 합당한 조치를 요청할 계획”이라고 밝혔다.
KT는 해당 서버에 가입자 이름, 전화번호, 이메일 주소, 단말식별번호(IMEI) 등 개인정보가 저장돼 있었다고 조사단에 보고했다. 정부는 이번 결과를 토대로 무단 소액결제 피해자 위약금 면제 등과 연계된 행정 조치 여부를 검토할 방침이다.
조사단은 또 KT의 펨토셀(초소형 기지국) 관리 체계에서도 구조적 보안 허점이 다수 확인됐다고 밝혔다. KT가 납품받은 펨토셀 기기에 동일한 인증서를 사용하고 있었으며, 인증서 유효기간이 10년으로 설정돼 있어 불법 복제 장비도 네트워크에 접속할 수 있었다. 인증서·셀ID·서버IP 등 핵심 정보가 외주 제작업체에 별도 보안조치 없이 제공된 점도 드러났다.
이 밖에도 KT는 펨토셀 접속 시 비정상 IP 차단 및 망 등록 검증 절차를 제대로 수행하지 않았고, 일부 환경에서는 종단 암호화가 해제돼 결제 인증정보가 평문으로 노출되는 문제도 있었다.
조사단은 “ARS·SMS 인증정보 탈취 가능성뿐 아니라 음성·문자 정보 유출 여부도 추가 검증하겠다”고 말했다.
과기정통부는 조사 결과를 종합해 법률 검토를 거친 뒤 KT에 대한 제재 여부를 결정할 예정이다. 업계에서는 정부가 위약금 면제 이상의 징계성 조치나 과징금 부과 가능성을 배제하지 않고 있는 것으로 보고 있다.
한 보안전문가는 “KT가 지난해 해킹 사실을 인지하고도 신고하지 않았다면 단순한 기술적 문제를 넘어 거버넌스 차원의 심각한 신뢰 위기로 번질 수 있다”며 “이번 조사는 통신사 보안관리 전반에 대한 경종이 될 것”이라고 강조했다.
Copyright ⓒ 마이데일리 무단 전재 및 재배포 금지
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기