과기정통부, 펨토셀 KT 망 접속 인증 관리 부실 확인
불법 단말-코어망 간 암호화 해제 가능…인증정보 평문 탈취
무단 소액결제 및 침해사고 지연 신고, 법적 처벌 가능성
![[서울=뉴시스] 김선웅 기자 = KT가 4일 이사회를 열고 무단 소액결제 사고 관련 전 고객 대상 유심(USIM) 교체 여부 및 김영섭 대표 거취를 결정한다. KT는 이날 이사회에서 차기 대표이사 선임 추진 안건을 의결할 것으로 알려졌다. 사진은 4일 서울 종로구 KT 본사의 모습. 2025.11.04. mangusta@newsis.com](https://img1.newsis.com/2025/11/04/NISI20251104_0021044089_web.jpg?rnd=20251104143140)
[서울=뉴시스] 김선웅 기자 = KT가 4일 이사회를 열고 무단 소액결제 사고 관련 전 고객 대상 유심(USIM) 교체 여부 및 김영섭 대표 거취를 결정한다. KT는 이날 이사회에서 차기 대표이사 선임 추진 안건을 의결할 것으로 알려졌다.
사진은 4일 서울 종로구 KT 본사의 모습. 2025.11.04. [email protected]
[서울=뉴시스] 심지혜 기자 = 해커가 불법 KT 펨토셀을 이용해 단말기와 통신망 사이 암호화 체계를 뚫고 소액결제 인증정보를 빼냈던 것으로 나타났다. KT의 펨토셀 관리 체계가 전반적으로 부실했다는 점이 드러난 결과라는 평이다.
과학기술정보통신부는 KT 침해사고 민관합동조사단의 중간조사 결과를 6일 발표했다.
KT 내부망 관리 허술…불법 펨토셀 종단 암호화 해제
게다가 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.
펨토셀 제조사는 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 인터넷프로토콜(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공하고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하는 것은 물론, 추출하는 것도 가능했다.
KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
아울러 조사단은 전문가 의견과 KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 해커가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, 문자 등 인증정보를 평문으로 취득할 수 있었던 것으로 판단했다.
소액결제가 이뤄지려면 ARS, 문자, 패스 등의 인증정보 확인을 거쳐야 한다. 특히 ARS와 문자는 이름, 생년월일 등 개인정보 입력이 별도로 필요한데 이러한 절차 없이도 인증이 통과돼 결제가 가능했던 것이다.
KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있었지만, 불법 펨토셀로 인해 뚫렸다.
보안 전문가들은 펨토셀의 하드웨어(SW)·소프트웨어(SW) 자체 개발을 통해 전송되는 내용을 가로채는 기능 구현이 가능하다고 판단했다. 조사단은 실제 실험을 통해 종단 암호화 해제 시 통신망 구간에서 평문으로 데이터 전송되는 사실을 확인했다.
조사단은 또 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다는 점도 확인했다.
조사단은 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
KT 무단 소액결제 사고 및 서버 침해 지연 신고
KT는 또 외부 외부 업체를 통한 보안점검 결과를 통해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했지만 9월 18일 오후 11시 57에야 당국에 침해사고를 지연 신고했다.
향후 침해 관련 서버에 대한 포렌식 분석을 통해 사고 원인 및 KT의 보안 취약점을 도출할 계획이다.
KT는 통신기록이 남아있는 기간인 지난해 8월 1일부터 올해 9월 10일까지 모든 기지국 접속 이력 약 4조300억건 및 모든 KT 가입자의 결제 약 1억5000만건 등 확보 가능한 모든 데이터를 분석했다. 그 결과 불법 펨토셀 ID 20개가 발견됐고 여기에 2만2227명이 접속해 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 발견됐다고 발표했다. 무단 소액결제 피해자 수는 368명이며 2억4319만원의 금전적 손실을 입었다. 통신기록이 없는 피해에 대해서는 파악하지 못한 상황이다.
이밖에 정부는 보안 전문지 프랙 보고서에서 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해 KT는 8월 1일에 관련 서버를 폐기했다고 KISA에 답변했지만 실제로는 세 차례에 걸쳐 폐기하는 등 당국에 허위 제출한 사실과 폐기 서버 백업 로그가 있었음에도 9월 18일까지 조사단에 이를 보고하지 않은 것이 정부 조사를 방해하기 위한 고의성이 있었다고 판단했다. 이에 위계에 의한 공무집행방해에 따라 수사기관에 수사를 의뢰했다.
최우혁 과기정통부 네트워크정책실장은 "조사단은 경찰과 협력하여 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중에 있으며, 개인정보위와 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사해 나갈 계획"이라고 설명했다.
이어 "KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획"이라며 "KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 말했다.
◎공감언론 뉴시스 [email protected]
