핵심요약
역대 최악으로 기록될 KT 해킹 사고의 원인은 KT의 총체적인 보안부실에 기인한 것이라는 최종 조사결과가 나왔다. 정부는 KT에게 책임을 물어 모든 이용자에 대해 위약금 면제 조치를 실시하라고 요구했고 KT는 고객 보상과 정보보안 혁신 방안의 조속한 마련을 약속했다.
BPF도어 등 악성코드는 지난 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 과정을 통해 서버에 침투한 것으로 파악됐다. 루트킷 등 악성코드는 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단할 수 없었다. KT의 허술한 사후 대처도 사태를 더욱 키웠다. KT는 지난해 3월 감염 서버를 발견하고도 정부에 알리지 않고 서버 41대에 대해 코드 삭제 등 자체 조치로 무마했다.
과학기술정보통신부 29일 정부서울청사서 KT 해킹 사건 관련 최종 조사 결과 발표
KT 서버 악성코드 감염 규모 SKT 해킹보다 훨씬 광범위
불법 펨토셀 접속 통화내용까지 유출 가능, 정확한 피해규모 추산도 불가능
KT 보안 총체적 미흡 결론…위약금 면제 사유
KT 조속한 보상 방안 발표 약속
민관합동조사단 LGU+는 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰
KT 서버 악성코드 감염 규모 SKT 해킹보다 훨씬 광범위
불법 펨토셀 접속 통화내용까지 유출 가능, 정확한 피해규모 추산도 불가능
KT 보안 총체적 미흡 결론…위약금 면제 사유
KT 조속한 보상 방안 발표 약속
민관합동조사단 LGU+는 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰
 |
류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 열린 KTㆍLGU+ 침해사고 조사 결과 브리핑에서 취재진 질문에 답하고 있다. 연합뉴스 |
역대 최악으로 기록될 KT 해킹 사고의 원인은 KT의 총체적인 보안부실에 기인한 것이라는 최종 조사결과가 나왔다. 정부는 KT에게 책임을 물어 모든 이용자에 대해 위약금 면제 조치를 실시하라고 요구했고 KT는 고객 보상과 정보보안 혁신 방안의 조속한 마련을 약속했다.
보안망 곳곳에 구멍 숭숭… SKT 해킹때보다 더 광범위한 서버 감염
과학기술정보통신부는 29일 정부서울청사에서 KT 해킹 사건과 관련한 최종 조사 결과를 발표했다. 민관 합동 조사단이 KT 서버 3만3천대를 6차례에 걸쳐 점검한 결과 서버 94대가 BPF도어(BPFDoor), 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염된 것으로 확인됐다. 앞서 일어난 SKT 해킹 사건과 비교하면 감염 규모가 훨씬 심각한 수준임을 알 수 있다. SKT의 경우 악성코드 33종에 감염됐고 공급망 보안 관리 취약으로 악성코드 1종이 서버 88대에 유입된 바 있다.BPF도어 등 악성코드는 지난 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 과정을 통해 서버에 침투한 것으로 파악됐다. 루트킷 등 악성코드는 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단할 수 없었다. KT의 허술한 사후 대처도 사태를 더욱 키웠다. KT는 지난해 3월 감염 서버를 발견하고도 정부에 알리지 않고 서버 41대에 대해 코드 삭제 등 자체 조치로 무마했다.
통화내용까지 유출 가능…피해자만 2만여명, 정확한 피해규모 파악 불가
 |
연합뉴스 |
펨토셀(불법 초소형 기지국)을 이용해 통신망에 부단 접속하는 방식으로 개인정보가 유출된 피해자는 2만2천227명, 무단 소액결제 피해자는 368명, 피해액 2억4천300만원으로 최종 집계됐따. 중간 조사 결과와 변동이 없었다. 다만 정확한 피해액 추산은 힘들게 됐다. 통신 결제 관련 데이터가 남아있지 않은 기간인 작년 7월 31일 이전의 피해 규모는 확인이 불가능하기 때문이다.
조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과. 이들 기기에 KT 망 접속에 필요한 KT 인증서, 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제삼의 장소로 전송하는 기능이 있음을 확인했다. 여기에 단말기에서 코어망에 이르는 통신 과정 암호화가 풀리면서 ARS, SMS 등 결제 인증 정보 탈취가 가능해졌다. 조사단은 이런 방식으로 이용자의 문자, 통화 내용이 유출되는 일도 가능하다는 결론을 내렸다.
KT의 허술한 펨토셀 관리 체계가 불법 펨토셀의 무단접속을 허용했다는 것이 조사단의 결론이다. 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 이것만 복사하면 정상 펨토셀이 아니더라도 KT 망에 접속할 수 있었다. 타사 또는 해외 IP 등 비정상 IP 차단 기능은 물론 정상 정보 여부를 확인하는 검증 체계도 없었다. 조사단은 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 KT에 주문했다.
정부, KT 보안 총체적 미흡 결론…위약금 면제 사유
과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다. KT약관에는 "회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다"는 규정이 적시돼 있다. 평문의 문자, 음성 통화가 제삼자에게 새어나갈 위험성을 고려하면 소액결제 피해를 본 일부 이용자 뿐만 아니라 전체 이용자에 대한 귀책사유가 된다고 판단한 것이다.조사단 역시 5개 기관을 대상으로 법률 자문을 의뢰한 결과 4곳으로부터 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 법적 판단을 전달받았다고 밝혔다. 앞서 SKT는 해킹 사고 최종 조사 결과가 발표된 지난 7월 4일 기준, 열흘간 침해 사고 이후 해지한 고객을 포함해 위약금 면제를 적용한 전례가 있다. 과기정통부는 KT가 위약금 면제 조치를 SKT의 사례에 준해 적용할 것으로 기대하고 있다. 류제명 과기정통부 2차관은 브리핑에서 "면제 대상 소급 적용 범위 등에 대해 KT가 지난 SKT 사례처럼 소비자 눈높이에 맞춰 적절한 판단을 할 것으로 기대한다"고 말했다.
조사단은 KT가 악성코드 감지는 물론이고 쉽게 탐지가 가능한 웹셸도 발견하지 못하는 등 보안 점검이 미흡했다는 점을 거듭 지적했다. 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지 분석하는 도구(EDR), 백신 등 보안 설루션 도입을 확대하라고 촉구했다. 분기에 1회 이상 모든 자산에 대해 보안 취약점을 정기 점검하고 운영 시스템 로그 기록을 최소 1년 이상 보관하며 중앙 로그 관리 시스템을 구축해 사이버 침해를 감시할 것을 주문했다. 전사의 자산을 담당하는 정보기술최고책임자(CIO) 지정과 정보기술 자산관리 설루션 도입의 필요성도 강조했다.
KT 30일 이사회 뒤 구체적 보상 방안 발표할 듯
 |
류영주 기자 |
KT는 "민관 합동 조사단의 결과 발표를 엄중하게 받아들이며 고객 보상과 정보보안 혁신 방안이 확정 되는 대로 조속히 발표할 예정"이라고 입장을 밝혔다. 통신업계서는 KT가 오는 30일 이사회를 열어 위약금 면제 범위와 고객 보상안을 논의, 발표할 것이라는 전망이 나오고 있다.
한편, 민관 합동 조사단은 LGU+의 해킹 의혹과 관련해 LGU+가 당국의 조사를 방해했다는 결론을 내리고 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰했다.익명의 화이트해커로부터 정보 유출 가능성을 통보받았으나 LGU+가 당국에서 침해 사고 정황을 안내한 이후에 서버 운영체계(OS)를 재설치 또는 폐기하며 구체적인 침해 내용이 드러나지 않았다.
※CBS노컷뉴스는 여러분의 제보로 함께 세상을 바꿉니다. 각종 비리와 부당대우, 사건사고와 미담 등 모든 얘깃거리를 알려주세요.
- 이메일 : jebo@cbs.co.kr
- 카카오톡 : @노컷뉴스
- 사이트 : https://url.kr/b71afn
진실은 노컷, 거짓은 칼컷
저작권자 © CBS 노컷뉴스 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.