펨토셀 관리 전반 부실…동일 인증서 10년간 사용
과거 악성코드 감염 사실 은폐…신고 의무 위반
침해사고 신고도 반복 지연…법령 위반
[보안뉴스 여이레 기자] KT 침해사고 민관합동조사단(이하 조사단)이 △불법 펠토셀에 의한 소액결제 및 개인정보 유출사고 △국가배후 조직에 의한 KT 인증서 유출 정황 △서버 침해사고 등 3건의 침해사고를 확인했다.
[자료: 연합뉴스]
6일 조사단에 따르면 2024년 8월 1일부터 2025년 9월 10일까지 약 4조 300억 건의 기지국 접속 이력과 1억5000만건의 결제 데이터를 분석한 결과, 불법 펨토셀(초소형 기지국) 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출된 것으로 확인됐다. 이 중 368명이 총 2억4319만 원의 무단 소액결제 피해를 입었다.
불법 펨토셀을 장악한 공격자는 종단 암호화를 해제하고 ARS, SMS 인증정보를 평문으로 탈취할 수 있었던 것으로 조사됐다. 조사단은 전문가 의견 청취 및 KT 통신망 테스트베드 실험을 통해 이같은 사실을 확인했다. 문자 및 음성통화 탈취 가능성에 대해서도 추가 조사를 진행 중이다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 지적했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 이 인증서를 복사하면 불법 펨토셀도 KT망 접속이 가능했다. 또 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 접속할 수 있었다.
펨토셀 제조사는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했으며, 펨토셀 저장 장치에서 이 정보를 쉽게 확인 및 추출할 수 있었다. KT는 내부망 접속 인증 과정에서 다른 기업 또는 해외 IP 등 비정상 IP를 차단하지 않았고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보 검증도 하지 않았다.
조사단은 서버 포렌식 분석을 통해 KT가 2024년 3월부터 7월까지 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리한 사실도 확인했다. 일부 감염서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다. 이는 정보통신망법상 3,000만원 이하 과태료 부과 대상이다.
또 KT는 8월 8일 발표된 프랙 보고서에 언급된 국가배후 조직에 의한 인증서 유출 정황 관련 서버를 8월 1일 폐기했다고 KISA에 답변했으나, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기 시점을 허위 제출했다. 폐기 서버 백업 로그가 있음에도 9월 18일까지 조사단에 보고하지 않았다. 조사단은 KT의 고의성을 인정해 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.
KT는 9월 1일 경찰로부터 무단 소액결제 발생 통보를 받고 내부망 이상 징후를 발견해 차단 조치(9.5)했음에도 불법 펨토셀 ID 확인 후인 9월 8일에야 침해사고를 신고했다. 또한 외부 업체를 통한 보안점검 결과 9월 15일 KT 내부 서버 침해 흔적을 확인하고도 9월 18일에야 신고하는 등 반복적으로 신고를 지연했다. 이는 정보통신망법상 과태료 부과 대상이다.
과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사 결과를 공개하고, 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유 해당 여부를 발표할 계획이다.
[여이레 기자(gore@boannews.com)]
과거 악성코드 감염 사실 은폐…신고 의무 위반
침해사고 신고도 반복 지연…법령 위반
[보안뉴스 여이레 기자] KT 침해사고 민관합동조사단(이하 조사단)이 △불법 펠토셀에 의한 소액결제 및 개인정보 유출사고 △국가배후 조직에 의한 KT 인증서 유출 정황 △서버 침해사고 등 3건의 침해사고를 확인했다.
[자료: 연합뉴스]
6일 조사단에 따르면 2024년 8월 1일부터 2025년 9월 10일까지 약 4조 300억 건의 기지국 접속 이력과 1억5000만건의 결제 데이터를 분석한 결과, 불법 펨토셀(초소형 기지국) 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출된 것으로 확인됐다. 이 중 368명이 총 2억4319만 원의 무단 소액결제 피해를 입었다.
불법 펨토셀을 장악한 공격자는 종단 암호화를 해제하고 ARS, SMS 인증정보를 평문으로 탈취할 수 있었던 것으로 조사됐다. 조사단은 전문가 의견 청취 및 KT 통신망 테스트베드 실험을 통해 이같은 사실을 확인했다. 문자 및 음성통화 탈취 가능성에 대해서도 추가 조사를 진행 중이다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 지적했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 이 인증서를 복사하면 불법 펨토셀도 KT망 접속이 가능했다. 또 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 접속할 수 있었다.
펨토셀 제조사는 셀ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했으며, 펨토셀 저장 장치에서 이 정보를 쉽게 확인 및 추출할 수 있었다. KT는 내부망 접속 인증 과정에서 다른 기업 또는 해외 IP 등 비정상 IP를 차단하지 않았고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보 검증도 하지 않았다.
조사단은 서버 포렌식 분석을 통해 KT가 2024년 3월부터 7월까지 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리한 사실도 확인했다. 일부 감염서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있었다. 이는 정보통신망법상 3,000만원 이하 과태료 부과 대상이다.
또 KT는 8월 8일 발표된 프랙 보고서에 언급된 국가배후 조직에 의한 인증서 유출 정황 관련 서버를 8월 1일 폐기했다고 KISA에 답변했으나, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기 시점을 허위 제출했다. 폐기 서버 백업 로그가 있음에도 9월 18일까지 조사단에 보고하지 않았다. 조사단은 KT의 고의성을 인정해 형법 제137조(위계에 의한 공무집행방해)에 따라 10월 2일 수사기관에 수사 의뢰했다.
KT는 9월 1일 경찰로부터 무단 소액결제 발생 통보를 받고 내부망 이상 징후를 발견해 차단 조치(9.5)했음에도 불법 펨토셀 ID 확인 후인 9월 8일에야 침해사고를 신고했다. 또한 외부 업체를 통한 보안점검 결과 9월 15일 KT 내부 서버 침해 흔적을 확인하고도 9월 18일에야 신고하는 등 반복적으로 신고를 지연했다. 이는 정보통신망법상 과태료 부과 대상이다.
과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사 결과를 공개하고, 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유 해당 여부를 발표할 계획이다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
