KT가 지난해 은닉성이 높은 악성코드 ‘BPF도어(BPFDoor)’에 자사 서버 다수가 감염된 사실을 알고도 정부에 신고하지 않은 채 자체 처리한 것으로 드러났다.
민관 합동 조사단은 6일 정부서울청사에서 브리핑을 열고 “KT가 2023년 3~7월 사이 내부 서버 43대가 BPF도어와 웹셸(WebShell)에 감염된 사실을 인지하고도 과학기술정보통신부에 보고하지 않았다”고 밝혔다. 조사단은 “KT의 행위는 정보통신망법상 보안관리 의무 위반 소지가 있다”며 행정조치 여부를 검토 중이라고 설명했다.
BPF도어는 탐지가 어려운 고위험 해킹 도구로 올해 초 SK텔레콤 해킹 사고에서도 피해를 일으킨 악성코드다. 당시 정부는 통신 3사를 전수조사했으나 KT는 자체 조치만 진행해 감염 사실이 확인되지 않았다. 조사단은 “KT의 해킹 사실 은폐 정황을 엄중히 보고 있으며 관계기관과 협의해 조치하겠다”고 밝혔다.
KT는 감염 서버에 성명·전화번호·이메일·단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다고 인정했다. 조사단은 “개인정보 유출 가능성을 배제할 수 없다”고 지적했다. 또 초소형 기지국(펨토셀) 관리 부실도 문제로 드러났다. KT는 모든 펨토셀에 동일 인증서를 사용하고 유효기간을 10년으로 설정해 불법 기기 접속이 가능했다. 외주업체에 인증서·서버 IP 등 핵심 정보를 제공하면서도 체계적 관리가 없었던 점도 보안 리스크로 지적됐다.
KT는 내부망 접속에서도 비정상 IP 차단 및 검증 절차를 적용하지 않아 불법 펨토셀 운영자가 암호화를 해제하고 통신 내용을 탈취할 수 있었다. 조사단은 “ARS, SMS 등 결제 인증정보가 유출됐을 가능성이 있으며 문자·음성통화 정보 탈취 여부도 조사 중”이라고 밝혔다.
과기정통부는 KT의 행위가 정보통신망법상 보안관리 위반 및 위약금 면제 사유에 해당하는지를 검토해 조치를 결정할 계획이다. 정부 관계자는 “해킹 은폐는 이용자 신뢰와 국가 보안 체계를 훼손하는 중대한 사안”이라며 “제도 개선과 함께 엄정한 대응을 추진하겠다”고 밝혔다.
김재원 기자 jkim@segye.com
