생각보다 더 충격적인 최종 조사 결과, KT편

KT와 LG유플러스의 해킹 사건에 대한 최종 조사 결과가 발표됨에 따라, KT 내부망 침투 경로, 소액 결제 피해의 구체적 수법, 서버 관리 부실 실태 및 향후 보상 대책을 체계적으로 정리한 기록입니다.

• KT 해킹 사건의 발단 및 초기 인지

  • 익명의 보고서(프랙 보고서)를 통해 '세이버'와 '사이보그'라는 두 해커가 북한 해커의 컴퓨터를 실수로 해킹하며 증거가 확보됨.
  • 해당 컴퓨터에서 국군 방첩 사령부, 외교부 온나라 시스템 등 국가 기관 공격 증거와 함께 KT 인증서, 인증서 비밀번호, LG유플러스 계정 정보가 발견됨.
  • 초기에는 국가 기관 공격 이슈에 묻혔으나, 8월 27일 KT 소액 결제 해킹 사건이 터지며 보고서 내용이 다시 주목받음.

• KT 소액 결제 해킹 및 불법 펨토셀 사건

  • 피해 규모: 이용자 22,227명의 IMSI, IMEI, 전화번호 유출 및 2억 원 이상의 무단 소액 결제 피해 발생.
  • 공격 수법: 범죄자가 중국산 소형 기지국 장비(펨토셀)를 개조하여 KT 내부망에 무단 접속함.
  • 인증 체계의 허점:
    • KT는 모든 펨토셀 제조사에 동일한 제조사 인증서를 사용하게 하여, 범죄자가 다른 기기에서 추출한 인증서로 중국산 장비를 KT 망에 붙일 수 있었음.
    • 발급된 인증서의 유효 기간이 10년으로 설정되어 있어 한 번 통과되면 장기간 이용이 가능했음.
  • 정보 탈취 및 결제 과정:
    • 가짜 기지국에 연결된 이용자의 전화번호를 추출함.
    • 이미 유출되어 있던 개인정보 DB(성명, 생년월일 등)와 대조하여 소액 결제를 시도함.
    • 단말과 코어망 사이의 암호화 미비(아이폰 16 이하 모델 등) 또는 암호화 해제 요청을 통해 인증 문자 및 ARS를 가로챔.

• KT 서버 해킹 조사 결과 및 관리 부실

  • 악성 코드 실태: 총 94대의 서버에서 BPF도어 등 130종의 악성 코드가 발견됨.
  • 은폐 및 방치 정황:
    • 2024년 3월에 이미 4대의 서버에서 악성 코드를 발견했으나 신고 없이 자체 삭제 처리함.
    • 가장 오래된 악성 코드는 2022년에 유입된 것으로 파악됨.
  • 조사 한계:
    • 주요 시스템에 보안 장비가 없거나 로그 기록 보관 주기가 1~2개월로 매우 짧아 구체적인 데이터 유출 흔적을 확인할 수 없음(유출 확인 불가 판정).
    • 웹쉘(Webshell)이 3년 동안 방치되는 등 기본적인 보안 점검이 이루어지지 않음.
  • 정부 조사 방해: 초기 조사 당시 장비를 폐기했다고 거짓 진술하는 등 고의적 방해 정황으로 수사 의뢰됨.

• 사후 조치 및 보상 대책

  • 과기정통부 판단: 이번 사건은 KT의 관리 소홀 및 제공 의무 미이행으로 인한 과실임.
  • 위약금 면제: 해킹 사고를 이유로 통신사를 변경하려는 고객에게 위약금을 면제하며, 이미 납부한 경우 환급 페이지를 통해 돌려줌.
  • 보안 투자 약속: KT 대표 사과와 함께 향후 5년간 1조 원 투자, 정기적인 모의 해킹 및 보안 취약점 상시 점검을 약속함.