KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용하고 있는 것으로 드러났다. 이로 인해 해커들은 쉽게 인증서를 복사하고, 불법 펨토셀로 KT망에 접근할 수 있었다. 또한 KT는 악성 코드 감염 사실을 지난해에 알았으나 이같은 사실을 신고하지 않는 등 침해 사고 자체를 은폐하려고 한 정황도 발견됐다.
KT에서 발생한 무단 소액결제사고를 조사하고 있는 민관합동조사단은 6일 중간 조사 결과를 발표하며 이같이 밝혔다. 조사단은 지난 9월 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실이 발견된 이후 조사단을 구성해 운영 중이다. 조사단은 이 과정에서 368명, 2억4319만 원의 소액결제 피해가 발생했다는 사실을 지난달 17일 발표했다.
이번에 조사단은 KT의 펨토셀 관리 체계를 확인해 침해 사고가 발생한 원인을 파악했다. 조사 결과 KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용하고 있는 것으로 나타났다. 이 경우 해당 인증서를 복사만 하면 불법 펨토셀도 KT망에 접속할 수 있다. KT인증서의 유효기간은 10년으로 설정돼 있어 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 접속이 가능하다. 또한 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것도 가능했다.
KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역 정보 등 형상 정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다. 이에 따라 조사단은 KT에 대해 펨토셀 제품별 별도 인증서를 발급하도록 조치했다.
또한 불법 펨토셀을 장악한 자는 KT의 종단 암호화를 해제할 수 있는 것으로 나타났다. KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화 방식을 취하고 있다. 하지만 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 보인다. 조사단은 추후 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
한편 조사단은 지난해 3~7월 사이 KT에 ‘BPFDoor’ 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. 또한 9월 1일 경찰로부터 특정 지역 무단 소액결제 발생을 전달 받고 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견하여 차단 조치한 후 이를 지연 신고한 부분에 대해서도 살펴보고 있다. 조사단은 “해당 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획”이라고 말했다.
![[사설] KT사태, 문제해소 반드시 확인돼야](https://img.etnews.com/news/article/2025/11/06/news-a.v1.20251106.2b2beaba5ee2434187e06644bc924a19_T1.jpg)
