굿모닝작전
정부가 KT에 모든 이용자를 대상으로 위약금 면제 조치를 하라고 요구했다. 해킹 방지를 소홀히 해 이용자에게 안전한 통신 서비스를 제공할 의무를 다하지 못했다는 이유에서다.
과학기술정보통신부는 29일 정부서울청사에서 KT 침해 사고 최종 조사 결과를 발표했다.
민관 합동 조사단이 KT 서버 3만3000대를 6차례에 걸쳐 점검한 결과 서버 94대가 BPF도어(BPFDoor), 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염돼 있었다.
역대급 통신사 해킹 사건으로 지목된 SKT의 경우 악성코드 33종에 감염됐고 공급망 보안 관리 취약으로 악성코드 1종이 서버 88대에 유입됐는데 KT의 감염 범위가 더 넓다.
BPF도어 등 악성코드는 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 과정의 취약점을 통해 서버에 침투했다. 루트킷 등 악성코드는 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단할 수 없었다.
불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해를 본 이용자는 2만2227명, 무단 소액결제 피해자는 368명, 피해액 2억4300만원으로 중간 조사 결과와 변동이 없었다.
다만 통신 결제 관련 데이터가 남아있지 않은 기간인 작년 7월 31일 이전의 피해 규모는 확인이 불가능해 추가 피해 여지는 미궁으로 남게 됐다.
조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 이들 기기에 KT 망 접속에 필요한 KT 인증서, 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제삼의 장소로 전송하는 기능이 있음을 확인했다.
단말기에서 코어망에 이르는 통신 과정에서 암호화가 풀리면서 ARS, SMS 등 결제 인증 정보가 탈취됐고 이용자의 문자, 통화 내용이 유출되는 일도 가능한 것으로 확인됐다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다며 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 요구했다.
모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 이를 복사하면 정상 펨토셀이 아니더라도 KT 망에 접속할 수 있었고 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었으며 정상 정보인지 검증 체계도 없어서다.
과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다. 약관에 명시된 "회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다"는 규정에 부합하며 특히 평문의 문자, 음성 통화가 제삼자에게 새어나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 전체 이용자에 해당한다고 봤기 때문이다.
이번 KT 위약금 면제가 미칠 영향에 대해서는 전망이 엇갈린다. 올해 이동통신 3사 모두 대형 해킹을 겪은 데다 금융·플랫폼·전자상거래 등 다양한 업종에서 보안 사고가 이어지면서 이용자 피로감 인식이 커져 실제 가입자 이동이 제한적일 것이라는 관측이 있다.
KT의 가입자 감소 폭은 SK텔레콤 해킹 당시 일일 수만 명 단위로 이탈이 발생했던 수준과 비교하면 상대적으로 제한적이었다 다만 KT의 위약금 면제를 계기로 SK텔레콤과 LGU+가 가입자 유치를 위한 공격적 마케팅에 나설 경우 가입자 수 판도가 다시 흔들릴 수 있다는 의견도 있다.
이송렬 한경닷컴 기자 yisr0203@hankyung.com
