▲ 19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑을 마친 류제명 과기정통부 제2차관과 권대영 금융위 부위원장(왼쪽 네 번째)이 대화하고 있다.
무단 소액결제 사태를 겪고 있는 KT에서 자사 서버 침해 정황까지 드러나면서 사건의 파장이 더욱 커지고 있습니다.
가입자식별정보(IMSI)와 국제단말기식별번호(IMEI)뿐만 아니라 우려하던 서버 침해까지 현실화하면서 KT가 선을 그어온 이른바 '복제폰' 가능성도 점점 배제할 수 없게 됐습니다.
KT는 오늘(19일) 자사 서버에서 침해 흔적 4건과 의심 정환 2건을 확인해 전날 자정 무렵 한국인터넷진흥원(KISA)에 신고했다고 밝혔습니다.
지난 4월 SK텔레콤 해킹 사태 이후 보안업체 용역을 통해 자사 서버를 점검했고, 지난 15일 이 같은 결과를 받아 내부 검토를 거쳐 신고에 나섰다는 설명입니다.
이로서 사건은 지난 4일 처음 불거진 이후 갈수록 피해 범위가 확대되고 있습니다.
KT는 사건 초기인 9일 무단 소액결제 관련 사실은 KISA에 신고했지만, 개인정보 해킹 정황은 없다고 강조했습니다.
이후 11일 첫 브리핑에서 자체 조사 결과 불법 초소형 기지국(펨토셀) 2개를 통해 1만 9천여 명의 이용자가 신호를 수신했고 이 중 5천561명의 IMSI가 유출된 정황을 확인했다고 입장을 바꿨습니다.
당시 밝힌 무단 소액결제 피해자는 278명, 피해액은 약 1억 7천만 원이었으며 유심 정보가 저장되는 홈가입자서버(HSS) 침해나 불법 기기 변경·복제폰 정황은 전혀 없다고 부연했습니다.
하지만 전날 2차 브리핑에서는 발견된 불법 펨토셀이 4개로 늘어나면서 총 2만 30명이 신호를 수신했다고 전했습니다.
IMSI만 유출됐다고 밝힌 1차 브리핑과 달리 이 기지국을 통해 IMSI뿐 아니라 IMEI와 휴대폰 번호도 유출됐다고 확인했습니다.
KT는 조사 방식·범위가 확장되면서 피해 규모가 커진 것이라는 입장입니다.
1차 조사에서는 민원 제기 피해자의 통화기록을 토대로 불법 기지국 ID를 추출해 전체 가입자 기록과 대조했지만, 이후에는 6월 이후 발생한 소액결제 2천267만 건을 전수 조사해 비정상 패턴을 분석한 결과 펨토셀 2대가 추가로 확인됐다는 것입니다.
KT의 해명에도 불구하고 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판도 일각에서는 나옵니다.
한편 소액결제가 이뤄지려면 이름·주민등록번호 등 추가 개인정보와 ARS 인증 우회 과정이 필요해 사건 초기부터 '복제폰' 의혹은 끊이지 않았습니다.
그러나 KT는 줄곧 "복제폰 생성은 불가능하다"는 입장을 고수해 왔습니다.
복제폰을 만들기 위해서는 IMSI, IMEI, 인증키값이 필수적인데 인증키가 보관되어 있는 서버는 침해 흔적이 없어 불가능하다는 취지였습니다.
손종엽 KT 디바이스사업본부장은 전날 2차 브리핑까지도 "복제폰이 생성되기 위해서는 IMSI, IMEI와 함께 인증키값이 필요하다"며 "IMSI와 IMEI를 알아도 인증키를 모르면 복제폰은 불가능하다"고 말하기도 했습니다.
하지만 KT가 전날 자사 서버 침해 흔적을 KISA에 신고하면서 단정은 어려워졌다는 지적이 나옵니다.
KT가 제출한 신고서 '사고내용'란에는 ▲ 윈도우 서버 침투 후 측면 이동 시도 ▲ Smominru 봇내 감염 ▲ VBScript 기반 원격코드 실행 및 민감정보 탈취 ▲ Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공을 적시했습니다.
의심 정황으로는 ▲ 리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 ▲ Rsupport 서버 의심 계정 생성 및 비밀키 유출 등 2건을 보고했습니다.
다만 KT는 어떤 정보가 실제 유출됐는지는 아직 확인되지 않았다고 밝혔다.
구재형 KT 네트워크기술본부장은 "전날 밤 신고해 합동조사단의 결과가 나와야 알 수 있다"고 말했습니다.
한 보안업계 관계자는 "KT가 제출한 신고서는 '어떤 악성파일과 해킹 정황을 발견했다'는 내용을 써놓은 정도"라며 "침해 흔적을 발견했을 뿐, 어떤 정보가 유출됐는지는 현 단계로 예단할 수 없다"고 말했습니다.
다른 업계 관계자도 "공격자가 윈도우 서버 안으로 침투한 후에 같은 네트워크 내에 있는 다른 서버까지 장악한 정황이 있다"고 분석했습니다.
그는 "어떤 서버에서 발생한 내용인지는 공개되어 있지 않으나 인증과 관련된 장비 또는 민감정보 보유 서버 연관성에 따라 피해 범위가 달라질 것으로 보인다"고 전했습니다.
류제명 과기정통부 2차관은 이날 복제폰 가능성도 염두에 두고 있냐는 질문에 "조사내용에 대해 구체적으로 확인해 드리기 어려운 점을 양해해달라"고 말했습니다.
(사진=연합뉴스)
