컨텐츠로 건너뛰기
검색
머니투데이 언론사 이미지

KT 해킹 '도청'도 가능했다…"전 가입자 위약금 면제해야"

머니투데이 윤지혜기자
원문보기

KT 해킹 '도청'도 가능했다…"전 가입자 위약금 면제해야"

속보
공정위, 시장지배력 남용 과징금 한도 6→20%로 대폭 상향
과기정통부 민관합동조사단 최종 조사 결과 발표
해커, 불법 펨토셀로 '종단 암호화' 해제…실제 탈취는 없어
LGU+ 서버 폐기·재설치로 조사 불가능…경찰 수사 의뢰

KT 민관합동조사단 최종 조사결과/그래픽=윤선정

KT 민관합동조사단 최종 조사결과/그래픽=윤선정


과학기술정보통신부 민관합동조사단(이하 조사단)이 KT 침해사고를 조사한 결과 해커가 불법 펨토셀로 일반 문자·통화도 엿볼 수 있었던 것으로 드러났다. 무단 소액결제가 발생한 9개 지역뿐 아니라 전 가입자가 위험에 노출됐던 만큼 KT가 전 가입자 대상 위약금을 면제해야 한다고 판단했다. 다만 해킹 배후 및 소액결제시 필요한 추가 개인정보 획득 경로 등은 밝혀지지 않아 미궁으로 남았다.

29일 과기정통부의 최종 민관합동조사 결과에 따르면 2024년 8월1일~2025년 9월10일 KT 기지국 접속기록 4조300억건 등을 조사한 결과, 서울·경기·인천 등 9개 지역에서 2만2227명의 개인정보가 유출됐고 368명이 2억4300만원의 무단 소액결제 피해를 본 것으로 나타났다.

해커는 2019년 7월 경기 북부 군부대에 설치된 KT 펨토셀을 입수해 인증서와 서버 IP 주소를 불법 펨토셀로 복사했다. 2020년 1월 막사가 이전하며 유실된 펨토셀이다. 이를 통해 KT 내부망에 접속한 불법 펨토셀은 강한 전파를 방출해 이용자 휴대전화를 연결, 가입자식별번호(IMSI)·단말기식별번호(IMEI)·전화번호를 탈취했다. 여기에 '미상의 경로'로 취득한 개인정보(성명·생년월일·전화번호)를 결합해 피해자를 정하고 상품권 구매 사이트에 접속, 불법 펨토셀로 ARS·SMS 인증정보를 탈취해 소액결제를 한 것으로 추정된다.

이용자 단말기에서 통신사 코어망까지 통신 데이터를 암호화하는 '종단 암호화'(IPSec)가 해제된 영향이다. 이 경우 해커가 일반 문자·통화를 엿볼 수 있지만 실제 탈취 흔적이 발견되진 않았다. 이에 대해 류제명 2차관은 "불법 펨토셀에 연결된 모든 개인의 통신 기록을 확인한 결과 정부 요인 등 중요하고 위험성 있는 내용은 없었다"고 말했다. 또 KT는 아이폰16 이하에서 암호화 설정 자체를 지원하지 않아 SMS가 평문으로 전송되는 문제도 발생했다. 반면 삼성 갤럭시 등 국내 주요 단말은 기본적으로 암호화를 하는 것으로 나타났다.

조사단은 KT 전체 서버 3만3000대 중 총 94대에서 BPF도어, 루트킷 등 악성코드 103종의 감염 사실도 발견했다. SK텔레콤 해킹 주요 원인인 BPF도어는 중국 배후의 해커 그룹 '레드맨션'이 만든 것으로 알려졌다. 이에 동일한 해커가 국가 사이버전 일환으로 SKT·KT를 노린 것 아니냐는 의혹에 류 차관은 "BPF도어가 오픈소스화돼 국가 배후 공격인지 단정하기 어렵다"고 말했다.

해커는 어떻게 KT를 공격했나/그래픽=윤선정

해커는 어떻게 KT를 공격했나/그래픽=윤선정



KT 전 가입자 위약금 면제해야…신규 영업정지 회의적

과기정통부는 조사 결과를 바탕으로 5개 기관에서 법률 자문을 받은 결과 KT가 전 가입자 대상 위약금을 면제해야 한다고 판단했다. KT가 모든 펨토셀에 동일한 인증서를 사용하고 10년간 업데이트하지 않는 등 관리부실이 컸다는 설명이다. 또 불법 펨토셀이 통신 트래픽을 캡처하는 방식으로 문자·통화를 탈취할 수 있었던 만큼, 이용자에게 안전한 통신서비스를 제공해야 할 계약상 주된 의무를 다하지 못했다고 강조했다.

다만 SKT 때와 달리 KT의 신규 영업정지에 대해서는 회의적인 입장이다. 류 차관은 "SKT는 유심 재고가 충분하지 않은 상황에서 신규보단 기존 가입자 유심 교체를 먼저 하라는 의미였다"며 "징벌적 행정조치가 아니었다"고 설명했다.


한편, 과기정통부는 해킹 의혹이 제기된 LG유플러스의 경우 "서버가 OS(운영체제) 재설치 및 폐기돼 조사가 불가능한 상황"이라며 경찰청에 '위계에 의한 공무집행 방해'로 수사를 의뢰하고 조사를 종료했다.

지난 8월 미국 보안 전문지 '프랙'은 해커가 LG유플러스의 외주 보안업체 '시큐어키'를 해킹해 얻은 계정 정보로 LG유플러스 내부망에 침투해 △8938대 APPM(통합 서버 접근제어 솔루션) 서버 정보 △4만2256개 계정 △167명 직원정보를 빼돌렸다고 보도했다. 조사단은 해당 정보가 LG유플러스가 보유한 정보는 맞지만 정확한 유출 여부 및 경위는 확인이 어렵다고 밝혔다.

윤지혜 기자 yoonjie@mt.co.kr 김승한 기자 winone@mt.co.kr

Copyright ⓒ 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지.

info icon이 기사의 카테고리는 언론사의 분류를 따릅니다.