6일 과학기술정보통신부 민관합동조사단은 정부서울청사에서 KT 침해 사고 중간 조사 결과를 발표했다.
조사단은 불법 초소형 기지국(펨토셀)에 의한 소액결제 및 개인정보 유출사고, 국가배후 조직에 의한 KT 인증서 유출 정황(프랙보고서), KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건을 조사해 사고 원인을 분석했다.
조사단에 따르면 KT는 지난해 3월부터 7월 사이 BPF도어, 웹셀 등 악성코드에 감염된 서버 43대를 자체 확인했지만 관련 사실을 과기정통부에 신고하지 않았다.
KT는 일부 서버에 고객의 성명, 전화번화, 이메일, 단말기 식별번호(IMEI)등이 저장돼 있었다고 보고했다.
통신망법상침해 사고 미신고는 3000만 원 이하 과태료 대상이다. 조사단은 KT가 악성토드 감염사실을 인지하고도 신고하지 않은 것은 중대한 문제라며 관계기관에 합당한 조치를 요청할 계획이라고 밝혔다.
조사단은 이번 사건을 계기로 KT내부의 내부 보안 관라 체계 전반에 허점이 드러났다고 지적했다.
특히 KT가 납품밪는 펨토셀이 동일 인증서를 사용하고 있었고 인증서 복사만으로 불법 펨토셀도 KT망에 접속할 수 있었다는 점을 문제고 꼽았다.
인증서 유효기간이 10년으로 설정돼 접소 이력이 있는 펨토셀은 장기간 KT망 접근이 가능했다.
조사단은 소액결제 피해 규모가 더 늘어날 가능성도 제기했다.
현재까지 확인된 피해자는 368명이며 피해액은 2억 4319만원이지만 추가 피해 여부를 검증한 뒤 최종 규모를 발표할 예정이다.
정유진 기자 jinjin@hankyung.com
© 매거진한경, 무단전재 및 재배포 금지