[3줄 요약]
1. 민관합동조사단, KT·LG유플러스 침해사고 최종 조사결과 발표
2. KT 과실 및 의무 이행 미흡으로 전체 이용자 위약금 면제 가능
3. LG유플러스, 서버 폐기로 확인 불가능... 공무집행 방해 수사의뢰
[보안뉴스 강현주 기자] KT의 펨토셀 관리 부실로 이용자 전체의 통화와 문자가 탈취 위험에 노출된 것으로 나타났다. KT의 펨토셀 보안 관리가 미흡했고, 안전한 통신서비스를 제공할 의무도 제대로 이행하지 못해 전체 이용자 위약금 면제 적용이 가능하다고 정부는 판단했다.
29일 과학기술정보통신부는 KT와 LG유플러스 침해사고에 대한 민관합동조사단 최종 조사 결과를 발표했다.
조사 결과, KT의 펨토셀 관리 부실로 368명이 2억4300만원 규모의 무단 소액결제 피해를 입었고, 2만2227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호 유출이 발생했다.
또 악성코드 감염 침해 사고로 △총 94대 서버가 BPF도어, 루트킷 등 총 103종의 악성코드에 감염된 것으로 나타났다.
▲류제명 과기정통부 제2차관이 KT와 LG유플러스 침해사고 조사 결과를 발표하고 있다. [자료: 연합]
불법 펨토셀로 종단 암호화 해제... 통화 탈취 위험 노출
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 밝혔다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용했기 때문에 이 인증서만 복사하면 정상 펨토셀이 아니더라도 내부망 인증을 받을 수 있었다.
특히 불법 펨토셀에 의해 종단 암호화가 해제됨에 따라, 평문의 문자와 통화 탈취가 가능한 것으로 확인됐다.
KT는 국제 표준 권고에 따라 단말과 펨토셀 간(무선망), 펨토셀과 통신사 국사 간(인터넷망) 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다. 하지만 불법 펨토셀에 의해 암호화가 해제돼 ARS나 문자메시지 등 결제 인증정보가 전송됐다.
통신 트래픽 캡쳐가 가능한 불법 펨토셀에 의한 이용자 문자 및 통화 탈취도 가능한 것이 확인됐다. 다만 실제 탈취된 정황은 발견되지 않았다는 게 과기정통부 설명이다.
특히 조사단은 아이폰 16 이하 등 일부 단말의 경우 KT가 암호화 설정 자체를 지원하지 않아 문자메시지가 평문으로 전송되는 문제를 확인한 바 있다. 이에 10월 이들 단말에 대한 통신 연결을 할 때 종단 암호화를 지원하도록 조치한 바 있다.
또 조사단은 KT의 기본적 보안 활동이 미흡하다고 진단했다. 보안점검이 미흡했고, 보안장비도 제대로 갖춰지지 않았으며, 로그 보관 기간도 짧았다. 거버넌스, 자산관리 등 전반적 정보보호 활동이 체계적으로 이뤄지지 않았다는 판단이다. 악성코드 뿐 아니라 쉽게 탐지 가능한 웹셸도 발견하지 못할 정도였다.
▲불법 펨토셀로 인한 침해사고 분석 [자료: 과기정통부]
로그 기록 짧아 조사 한계... 서버 폐기는 수사 의뢰
특히 운영 중인 시스템의 로그기록 보관 기간이 1~2개월에 불과해 사고 원인 파악에 한계가 있었다.
이 외에도 조사단은 KT의 거버넌스 체계 미흡, 자산관리 미흡, 공급망 보안 미흡 등을 지적했다.
재발 방지 대책으로 조사단은 △펨토셀 생산할 때 인증서, 통신사 인증서버 IP, 셀ID 보안 정책 마련 △종단 암호화 해제 방지 설정 및 모니터링 강화 △EDR이나 백신 등 보안 솔루션 도입 확대 △펨토셀 관리 시스템에 방화벽 등 도입 및 운영시스템 로그기록 최소 1년 이상 보관 △정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리하도록 개편 △CISO가 전사 자산 담당하게 하고 자산관리 솔루션도 도입 △펨토셀 공급망 보안 관리체계 수립 △신고 의무 준수 등 재발 방지책을 제시했다.
또 KT는 2024년 3월 웹셸 및 BPF도어 등 악성코드를 발견했으나 신고하지 않고 자체 조치, 정보통신망법을 어겼다. 이에 따라 과기정통부는 KT에 과태료를 부과할 예정이다.
KT는 프랙 보고서에 제보된 침해 정황 서버와 관련, 조사단에 서버 폐기 시점을 허위 제출하고, 폐기 서버 백업 로그가 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다. 정부는 조사를 방해하기 위한 고의성이 있다고 판단, 수사기관에 수사를 의뢰했다.
과기정통부는 조사 결과를 바탕으로 5개 기관에 법률 자문을 받았다. 4개 법률 자문 기관은 이번 침해사고를 KT의 과실로 판단했다.
과기정통부는 △KT의 과실이 발견된 점 △KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 들어 이번 침해사고는 KT 전체 이용자를 대상으로 위약금을 면제해야 하는 회사 귀책 사유에 해당한다고 밝혔다.
흔적 지운 LG유플러스는 공무집행 방해로 수사의뢰
이와 함께 과기정통부는 LG유플러스에 대한 조사결과도 발표했다.
조사단은 익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 실제 유출된 것으로 확인했다. 이들 정보는 서버목록, 서버 계정정보, 임직원 성명 등이다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대한 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스 자료와 상이함을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황이었다는 설명이다.
공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 침투했다는 제보도 확인하고자 했다. 하지만 협력사 직원의 노트북에서 APPM 서버로 이어지는 네트워크 경로상 주요 서버 등이 모두 OS가 재설치되거나 폐기돼 조사가 불가능했다.
조사단은 이 같은 행위가 KISA가 침해사고 정황 등을 안내한 후 이뤄진 점을 고려,위계에 의한 공무집행 방해로 경찰청에 수사의뢰 했다.
배경훈 부총리는 “이번 KT, LG유플러스 침해사고는 SKT 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.
다음은 조사단 일문일답
1. KT 위약금 면제 시작과 소급 시점은
조사단은 전체 이용자 대상 면제가 필요하다는 판단을 말씀드리는 것이고, 시점과 기간은 KT가 국민 눈높이에 맞춰 적절히 판단할 것으로 생각한다.
2. KT와 SKT는 해킹 시기가 큰 차이 안나는데 같은 공격자인가
악성코드는 유사성이 있다고 판단하지만, 정밀 분석 결과 일치 여부를 판단하기엔 정보가 부족했다. 같은 공격자라 단정하기엔 결론 내기 어려운 상황이다.
3. 남은 로그 기록으로만 유출 정황이 없는 것인데, 국민들 안심해도 되나
확인할 수 있는 것은 로그 기록이 남아있는 것에 한정한 것이다. KT 악성코드 감염에 따른 유출 여부도 남은 로그 상엔 안됐다고 단정 가능하다. 남지 않은 것에는 확인이 어렵다. 개인정보 DB 유출 정황은 개인정보보호위원회의 추가 조사를 통해 밝혀질 것이다.
4. SKT와 KT 공격은 중국 정부가 주도한 국가 배후 해킹이라는데
중국 국가 배후설이 보안 커뮤니티 등에서 공인된 사실처럼 돌고 있는데, 국가 기관이 공인한 사실이 아니다. 문제의 악성코드를 중국 해커 그룹이 만들었다는 게 통설인데, SKT 공격에서도 봤지만, 어느 시점부터 오픈소스화 되면서 특정 공격 그룹이 독점 활용하는 악성코드가 아니다. 다양한 그룹에서 오픈 소스를 활용해 공격하는 특성이 있다.
5. KT 이용자 입장에서 불안감 해소 안 됐다고 보인다. 추가 조치 필요하지 않나
각 사고마다 정부 조치가 공통적인 부분도 있지만 차별적인 게 필요한 부분도 있다. 이번 KT건도 영업정지가 이뤄져야 한다는 질문을 많이 받는데, SKT때와는 다르다. SKT의 경우 교체할 유심이 부족한 상황에서 신규 고객에게 유심 재고가 쓰이는 것이 적절치 않았기에 문제시했던 부분이다. 이번 사고가 동일한 패턴이었다면 KT에도 동일한 조치를 적용했을 텐데 유심 교체 관련 요소가 확인되지 않아 동일 적용하지 않을 것이다.
6. SKT와 달리 KT는 서버를 은폐했는데, 신고 지연 과징금 외 추가 조치는 없는가
공무원이 일할 땐 법으로 일한다. 이에 따라 통신 3사에 관련 법정조치를 해 나가고 있다.
6. KT 조사 결과만 자세한데, LG유플러스는 발표한 내용이 전부인가
LG유플러스는 신고가 들어온 후 조사했고, OS 업데이트를 해서 더 이상 조사 진행할 수 있는 부분이 없어 공무 집행 방해로 수사를 의뢰하고 종료됐다. 추가로 확인할 부분이 있으면 수사당국이 할 것이다. 현 단계로선 조사 종료다.
[강현주 기자(jjoo@boannews.com)]
1. 민관합동조사단, KT·LG유플러스 침해사고 최종 조사결과 발표
2. KT 과실 및 의무 이행 미흡으로 전체 이용자 위약금 면제 가능
3. LG유플러스, 서버 폐기로 확인 불가능... 공무집행 방해 수사의뢰
[보안뉴스 강현주 기자] KT의 펨토셀 관리 부실로 이용자 전체의 통화와 문자가 탈취 위험에 노출된 것으로 나타났다. KT의 펨토셀 보안 관리가 미흡했고, 안전한 통신서비스를 제공할 의무도 제대로 이행하지 못해 전체 이용자 위약금 면제 적용이 가능하다고 정부는 판단했다.
29일 과학기술정보통신부는 KT와 LG유플러스 침해사고에 대한 민관합동조사단 최종 조사 결과를 발표했다.
조사 결과, KT의 펨토셀 관리 부실로 368명이 2억4300만원 규모의 무단 소액결제 피해를 입었고, 2만2227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호 유출이 발생했다.
또 악성코드 감염 침해 사고로 △총 94대 서버가 BPF도어, 루트킷 등 총 103종의 악성코드에 감염된 것으로 나타났다.
▲류제명 과기정통부 제2차관이 KT와 LG유플러스 침해사고 조사 결과를 발표하고 있다. [자료: 연합]
불법 펨토셀로 종단 암호화 해제... 통화 탈취 위험 노출
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실했다고 밝혔다. KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용했기 때문에 이 인증서만 복사하면 정상 펨토셀이 아니더라도 내부망 인증을 받을 수 있었다.
특히 불법 펨토셀에 의해 종단 암호화가 해제됨에 따라, 평문의 문자와 통화 탈취가 가능한 것으로 확인됐다.
KT는 국제 표준 권고에 따라 단말과 펨토셀 간(무선망), 펨토셀과 통신사 국사 간(인터넷망) 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다. 하지만 불법 펨토셀에 의해 암호화가 해제돼 ARS나 문자메시지 등 결제 인증정보가 전송됐다.
통신 트래픽 캡쳐가 가능한 불법 펨토셀에 의한 이용자 문자 및 통화 탈취도 가능한 것이 확인됐다. 다만 실제 탈취된 정황은 발견되지 않았다는 게 과기정통부 설명이다.
특히 조사단은 아이폰 16 이하 등 일부 단말의 경우 KT가 암호화 설정 자체를 지원하지 않아 문자메시지가 평문으로 전송되는 문제를 확인한 바 있다. 이에 10월 이들 단말에 대한 통신 연결을 할 때 종단 암호화를 지원하도록 조치한 바 있다.
또 조사단은 KT의 기본적 보안 활동이 미흡하다고 진단했다. 보안점검이 미흡했고, 보안장비도 제대로 갖춰지지 않았으며, 로그 보관 기간도 짧았다. 거버넌스, 자산관리 등 전반적 정보보호 활동이 체계적으로 이뤄지지 않았다는 판단이다. 악성코드 뿐 아니라 쉽게 탐지 가능한 웹셸도 발견하지 못할 정도였다.
▲불법 펨토셀로 인한 침해사고 분석 [자료: 과기정통부]
로그 기록 짧아 조사 한계... 서버 폐기는 수사 의뢰
특히 운영 중인 시스템의 로그기록 보관 기간이 1~2개월에 불과해 사고 원인 파악에 한계가 있었다.
이 외에도 조사단은 KT의 거버넌스 체계 미흡, 자산관리 미흡, 공급망 보안 미흡 등을 지적했다.
재발 방지 대책으로 조사단은 △펨토셀 생산할 때 인증서, 통신사 인증서버 IP, 셀ID 보안 정책 마련 △종단 암호화 해제 방지 설정 및 모니터링 강화 △EDR이나 백신 등 보안 솔루션 도입 확대 △펨토셀 관리 시스템에 방화벽 등 도입 및 운영시스템 로그기록 최소 1년 이상 보관 △정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리하도록 개편 △CISO가 전사 자산 담당하게 하고 자산관리 솔루션도 도입 △펨토셀 공급망 보안 관리체계 수립 △신고 의무 준수 등 재발 방지책을 제시했다.
또 KT는 2024년 3월 웹셸 및 BPF도어 등 악성코드를 발견했으나 신고하지 않고 자체 조치, 정보통신망법을 어겼다. 이에 따라 과기정통부는 KT에 과태료를 부과할 예정이다.
KT는 프랙 보고서에 제보된 침해 정황 서버와 관련, 조사단에 서버 폐기 시점을 허위 제출하고, 폐기 서버 백업 로그가 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다. 정부는 조사를 방해하기 위한 고의성이 있다고 판단, 수사기관에 수사를 의뢰했다.
과기정통부는 조사 결과를 바탕으로 5개 기관에 법률 자문을 받았다. 4개 법률 자문 기관은 이번 침해사고를 KT의 과실로 판단했다.
과기정통부는 △KT의 과실이 발견된 점 △KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 들어 이번 침해사고는 KT 전체 이용자를 대상으로 위약금을 면제해야 하는 회사 귀책 사유에 해당한다고 밝혔다.
흔적 지운 LG유플러스는 공무집행 방해로 수사의뢰
이와 함께 과기정통부는 LG유플러스에 대한 조사결과도 발표했다.
조사단은 익명의 제보자가 유출됐다고 주장한 LG유플러스의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보가 실제 유출된 것으로 확인했다. 이들 정보는 서버목록, 서버 계정정보, 임직원 성명 등이다.
조사단은 LG유플러스에서 제출받은 APPM 서버에 대한 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LG유플러스 자료와 상이함을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황이었다는 설명이다.
공격자가 LG유플러스에 APPM 솔루션을 제공하는 협력사를 해킹한 후 침투했다는 제보도 확인하고자 했다. 하지만 협력사 직원의 노트북에서 APPM 서버로 이어지는 네트워크 경로상 주요 서버 등이 모두 OS가 재설치되거나 폐기돼 조사가 불가능했다.
조사단은 이 같은 행위가 KISA가 침해사고 정황 등을 안내한 후 이뤄진 점을 고려,위계에 의한 공무집행 방해로 경찰청에 수사의뢰 했다.
배경훈 부총리는 “이번 KT, LG유플러스 침해사고는 SKT 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 말했다.
다음은 조사단 일문일답
1. KT 위약금 면제 시작과 소급 시점은
조사단은 전체 이용자 대상 면제가 필요하다는 판단을 말씀드리는 것이고, 시점과 기간은 KT가 국민 눈높이에 맞춰 적절히 판단할 것으로 생각한다.
2. KT와 SKT는 해킹 시기가 큰 차이 안나는데 같은 공격자인가
악성코드는 유사성이 있다고 판단하지만, 정밀 분석 결과 일치 여부를 판단하기엔 정보가 부족했다. 같은 공격자라 단정하기엔 결론 내기 어려운 상황이다.
3. 남은 로그 기록으로만 유출 정황이 없는 것인데, 국민들 안심해도 되나
확인할 수 있는 것은 로그 기록이 남아있는 것에 한정한 것이다. KT 악성코드 감염에 따른 유출 여부도 남은 로그 상엔 안됐다고 단정 가능하다. 남지 않은 것에는 확인이 어렵다. 개인정보 DB 유출 정황은 개인정보보호위원회의 추가 조사를 통해 밝혀질 것이다.
4. SKT와 KT 공격은 중국 정부가 주도한 국가 배후 해킹이라는데
중국 국가 배후설이 보안 커뮤니티 등에서 공인된 사실처럼 돌고 있는데, 국가 기관이 공인한 사실이 아니다. 문제의 악성코드를 중국 해커 그룹이 만들었다는 게 통설인데, SKT 공격에서도 봤지만, 어느 시점부터 오픈소스화 되면서 특정 공격 그룹이 독점 활용하는 악성코드가 아니다. 다양한 그룹에서 오픈 소스를 활용해 공격하는 특성이 있다.
5. KT 이용자 입장에서 불안감 해소 안 됐다고 보인다. 추가 조치 필요하지 않나
각 사고마다 정부 조치가 공통적인 부분도 있지만 차별적인 게 필요한 부분도 있다. 이번 KT건도 영업정지가 이뤄져야 한다는 질문을 많이 받는데, SKT때와는 다르다. SKT의 경우 교체할 유심이 부족한 상황에서 신규 고객에게 유심 재고가 쓰이는 것이 적절치 않았기에 문제시했던 부분이다. 이번 사고가 동일한 패턴이었다면 KT에도 동일한 조치를 적용했을 텐데 유심 교체 관련 요소가 확인되지 않아 동일 적용하지 않을 것이다.
6. SKT와 달리 KT는 서버를 은폐했는데, 신고 지연 과징금 외 추가 조치는 없는가
공무원이 일할 땐 법으로 일한다. 이에 따라 통신 3사에 관련 법정조치를 해 나가고 있다.
6. KT 조사 결과만 자세한데, LG유플러스는 발표한 내용이 전부인가
LG유플러스는 신고가 들어온 후 조사했고, OS 업데이트를 해서 더 이상 조사 진행할 수 있는 부분이 없어 공무 집행 방해로 수사를 의뢰하고 종료됐다. 추가로 확인할 부분이 있으면 수사당국이 할 것이다. 현 단계로선 조사 종료다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
