[IE 산업] KT가 지난해 BPF도어(BPFDoor)와 같은 강한 악성코드에 서버가 감염된 사실을 알고도 당국에 신고하지 않은 채 은폐한 것으로 파악됐다.

BPF도어는 리눅스 기반 시스템을 노리는 고도화한 백도어 악성코드를 의미한다. 네트워크 패킷 필터링 기술인 BPF(Berkeley Packet Filter)를 통과 못 하는 일반 악성코드와 달리 네트워크 트래픽에 숨어 특정 신호를 받으면 명령을 수행한다. 올 초 불거진 SK텔레콤(SKT) 해킹 당시에도 큰 피해를 줬다.

6일 KT 해킹 사고를 조사 중인 민관 합동 조사단은 정부서울청사에서 중간 조사 결과에 대한 브리핑을 개최했다. 브리핑에 따르면 KT는 작년 3월부터 7월 BPF도어와 웹셸을 비롯한 악성코드에 감염된 서버 43대를 발견했지만, 이를 정부에 신고하지 않았다. 특히 일부 감염된 서버에는 ▲성명 ▲전화번호 ▲이메일 주소 ▲단말기 식별번호(IMEI) 등 개인정보가 저장됐었다.

이와 관련해 조사단은 "엄중히 보고 있으며 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획"이라고 언급했다.

또 조사단은 불법 초소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출과 관련해 펨토셀 운영 및 내부망 접속 과정에서 보안 문제점도 밝혀냈다. KT에 납품되는 모든 펨토셀이 같은 인증서를 사용하고 있어 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었던 것. 인증서 유효기간 역시 10년으로 한 번이라도 KT망에 접속한 펨토셀은 계속 접속이 가능했다.

여기 더해 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안 관리 체계 없이 외주사에 제공해 펨토셀 저장 장치에서 해당 정보를 쉽게 추출할 수 있었다. KT 내부에서는 펨토셀 접속 인증 과정 시 비정상 IP를 차단하지 않았으며 KT 망에 등록된 정보인지에 대한 여부도 확인하지 않았다.

아울러 KT가 단말과 기지국 간, 단말과 코어망 간 종단 암호화를 했지만, 불법 펨토셀을 보유한 사람이라면 이 암호화를 해제할 수 있었다. 암호화를 해제하면 ARS, SMS 등 결제를 위한 인증정보를 얻을 수 있다.

이 밖에도 국제 보안업체 '프랙'이 지난 8월 공개한 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황에 대해 KT는 해당 서버들을 8월 1일에 폐기했다며 한국인터넷진흥원(KISA)에 보고했지만, 실제 8월 1일과 6일, 13일에 걸쳐 없앴다. 또 폐기 서버의 백업 로그가 존재함에도 이를 지난 9월 18일까지 보고하지 않았다.

조사단은 이런 허위 제출과 은폐 시도가 정부 조사를 방해하려는 고의적 행위로 판단, 지난달 2일 수사기관에 정식 수사를 요청했다. 더불어 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 추가 조사할 방침이다.

/이슈에디코 김수경 기자/