“불법 펨토셀 장악, 통신사 내부 암호화 해제할 수 있어”
‘패킷 감청’ 가능성에 대해선 “조사가 좀 더 필요한 영역”

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. 연합뉴스

KT 불법 소액결제 사건과 관련, 결제 인증 정보가 불법 초소형기지국(팸토셀)을 통해 유출됐다는 분석이 나왔다. 개인정보가 필요한 ARS(자동응답전화) 인증이 뚫린 배경에 대해 각종 의혹이 제기됐으나 민관합동조사단은 불법 펨토셀이 통신사 암호망을 뚫을 수 있다고 판단했다.

KT 해킹 사건을 조사하고 있는 민관합동조사단은 6일 중간 결과 발표에서 소액결제 인증정보(ARS, SMS) 탈취 문제에 대해 “불법 펨토셀을 장악한 자가 ‘종단 암호화’를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다”고 밝혔다.

종단 암호화란 휴대전화 단말기에서 통신사 코어망까지 이동하는 통신데이터 자체를 암호화하는 것으로 통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보에 대해 암호화가 이뤄진다. 조사단은 “불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획”이라고 밝혔다.

종단 암호화 해제에 대해선 결국 ‘패킷 감청’이 이뤄져 국내 이동통신망의 보안 체계가 전체적으로 뚫린 게 아니냐는 지적도 나온다. 이에 대해 조사단은 “조사가 좀 더 필요한 영역”이라며 “좀 정리가 되면 그런 부분에 대해서 말씀드릴 수 있을 것”이라고 답했다.

조사단은 KT가 지난해 3~7월 BPF도어(BPFDoor), 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 당국에 알리지 않고 ‘자체 처리’한 사실도 공개했다. 그러나 KT 서버 해킹으로 인한 가입자 개인정보 유출 규모가 어느 정도인지 밝히지 않았다. 조사단은 KT 서버 해킹에 대해 “최근에 발견하고 최근에 확인을 다 한 게 아니라 KT한테 이제 자료를 받은 상황이기 때문에 조사를 해 봐야 된다”고 밝혔다.

이와 관련 KT 가입자들이 지난해 10월부터 무단 소액결제 피해를 봤다는 점에서 결제·인증 등에 필요한 상당히 많은 핵심 정보들이 빠져나갔을 가능성도 제기된다. 무단 소액결제범들이 지난해 3월부터 이뤄진 서버 해킹으로 빠져나간 정보를 활용했을 가능성도 있다. 조사단은 경찰과 협력해 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중이며 개인정보보호위원회와 함께 범인들이 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사해 나갈 계획이라고 밝혔다.

개인정보 유출 조사 뒤 KT에 대한 개인정보위의 과징금 부과 가능성도 커졌다. 앞서 SK텔레콤은 개인정보위로부터 1347억 원의 과징금을 부과받았다. KT가 전 가입자 무료 유심(USIM) 교체를 시작한 가운데 유심 부족 사태가 발생할 경우 영업정지 가능성도 제기된다. 조사단은 “SK텔레콤 때 신규 영업정지를 했던 배경은 유심이 부족한 상태에서 유심을 신규 영업으로 돌리는 부도덕한 행위를 막기 위해서였다”면서 “만약에 KT도 그런 사태가 벌어진다면 동일한 조치에 들어가야 될 것”이라고 밝혔다.

김종우 기자 kjongwoo@busan.com