[비즈니스포스트] 정부 민관합동조사단이 포렌식 과정에서 KT 서버 내 악성코드를 확인했으며, 불법 초소형 기지국(펨토셀)이 무단 소액결제 해킹사고의 주요 원인이라고 밝혔다.

최우혁 과학기술정보통신부 네트워크정책실장은 6일 오후 2시 정부종합청사 서울본관 브리핑실에서 KT 침해사고 중간조사를 발표하면서 KT 서버에서 악성코드가 발견됐던 사항과 관련해 “이것은 KT가 밝힌 게 아니고 저희가 조사하는 과정에 포렌식을 하면서 발견한 사항”이라고 말했다.

최 실장은 “서버 폐기나 이런 부분들은 조사가 필요하다”며 “사실 최근에 저희가 인지를 했고, 포렌식 과정에서 KT에 자료 요청을 했다”고 말했다.

악성코드는 KT가 백신을 돌린 흔적을 통해 사실을 파악했다고 그는 설명했다.

그는 "포렌식을 하면서 저희가 BPFDoor를 발견한 게 아니고 BPFDoor는 지워져 있었다"며 "BPFDoor를 갖다가 검출하는 스크립트를 돌리는, 그러니까 백신을 돌린 흔적을 발견했다"고 말했다.

무단 소액결제 사태의 원인은 불법 초소형 기지국인 때문인 것으로 추정했다.

최 실장은 “소액결제에 대한 문제점으로 보는 부분은 지금 주력은 펨토셀을 갖다가 메인으로 보고 있다”며 “그렇지만 조사는 항상 모든 가능성은 열어놓고 있다, 그런데 가능성이 가장 높은 건 지금 펨토셀로 보고 있다”고 말했다.

위약금 면제와 관련해 “조사를 어느 정도 더 확인한 후에 SK텔레콤처럼 법률 자문을 적정 시점에 최종적으로 말할 수 있을 것 같다”고 말했다.

불법 복제폰을 통한 해킹 가능성과 관련해서는 유심 복제를 위한 인증키 유출은 아직까지 확인되지 않았다고 밝혔다.

LG유플러스 해킹 유출 조사와 관련해서는 “APPM 서버 외에 추가로 관련된 서버라든지 이런 것들은 정밀하게 지금 살펴보고 추후에 발표할 내용이 있으시면 브리핑할 예정”이라고 말했다.

조사단은 이날 중간조사 발표에서 통신기록이 없는 2024년 8월1일 이전의 피해에 대해서는 파악이 불가능했으며, 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다고 밝혔다.

향후 조사단은 KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.

앞서 KT는 10월17일 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호, 단말기 식별번호 및 전화번호 유출 정황을 확인하고, 368명, 2억4319만 원의 소액결제 피해가 있었던 것을 확인했다. 조승리 기자