민관합동조사단은 6일 KT 침해사고에 대한 중간 조사결과를 발표하며, 불법 소형 기지국(펨토셀)이 KT 내부망에 접속할 수 있었던 근본 원인으로 인증 관리 부실을 지적했다. 조사단에 따르면 KT는 소형 기지국 접속 인증서를 10년 단위로 장기 발급하고, 모든 기기에 동일한 인증서를 사용해 불법 복제 장비가 내부망에 접속할 수 있는 구조적 취약성을 드러냈다.

또한 단말과 핵심망(코어망) 간의 암호화가 해제된 상태에서 불법 펨토셀이 자동응답체계(ARS)와 단문 메시지(SMS) 등 인증정보를 평문으로 탈취할 수 있었던 것으로 판단됐다. 조사단은 KT의 망 관리 실태 시험 결과를 통해 종단 암호화가 해제될 경우 인증정보가 암호화되지 않은 상태로 전송되는 사실을 확인했다.

KT는 지난 3월부터 7월 사이 BPFDoor 등 악성코드에 감염된 서버 43대를 자체 발견하고도 정부에 신고하지 않은 것으로 드러났다. 이는 정보통신망법상 과태료 부과 대상 행위에 해당한다. 또한 9월 초 무단 소액결제 이상 징후를 발견하고 차단 조치를 한 이후에도 신고를 지연했으며, 외부 점검 과정에서 추가 침해 흔적을 확인하고도 3일이 지난 시점에 신고한 사실이 확인됐다.

조사단은 KT가 통신기록 약 4조 300억 건과 결제내역 1억 5000만 건을 분석한 결과, 불법 펨토셀 20개에서 2만 2227명의 가입자 정보가 유출됐으며, 이 중 368명이 총 2억 4319만 원 규모의 소액결제 피해를 입은 것으로 파악했다고 밝혔다. 다만 8월 이전 기록이 남아 있지 않아 피해 규모는 더 클 가능성이 있다.

한편 KT는 국가배후 조직에 의한 인증서 유출 정황이 제기된 ‘프랙 보고서’와 관련해 서버 폐기 시점을 허위로 제출한 사실이 확인돼 수사기관에 위계에 의한 공무집행방해 혐의로 수사 의뢰됐다. 조사단은 경찰과 개인정보보호위원회 등과 협력해 불법 장비 분석과 개인정보 확보 경로를 추적하고, KT의 보안관리 체계와 법령 위반 여부를 추가 조사할 예정이다.

과학기술정보통신부는 최종 조사결과를 공개하고, 확인된 사실을 바탕으로 KT의 이용약관상 위약금 면제 사유 해당 여부를 검토할 계획이다. /이성재 기자