국정원 “KT 일부 스마트폰서 문자 암호화 해제”··· 사이버 안보 위협 경고
정부·민간 합동조사단, KT 전체망에서도 동일 현상 가능성 정밀 분석
지난해 BPF도어 악성코드 감염 은폐 정황 논란까지··· 다시 보안 리스크

국가정보원이 KT 일부 스마트폰에서 문자메시지 암호화 해제 현상 사실을 인지, 정부와 KT에 통보한 사실이 밝혀지면서 다시 불붙은 KT의 보안리스크. /인공지능 생성 이미지
국가정보원이 KT 일부 스마트폰에서 문자메시지 암호화 해제 현상 사실을 인지, 정부와 KT에 통보한 사실이 밝혀지면서 다시 불붙은 KT의 보안리스크. /인공지능 생성 이미지

국가정보원(이하 국정원)이 KT 일부 스마트폰에서 문자메시지(SMS) 암호화가 해제되는 현상을 직접 확인하고, 이를 사이버 안보를 위협할 중대한 사안으로 판단해 과학기술정보통신부(과기정통부)와 KT에 공식 통보한 사실이 드러났다.

정부는 이번 사안을 국가 기반통신 보안의 핵심 문제로 보고, 민·관 합동 조사단을 구성해 전면 조사에 착수했다.

◇ 국정원 “KT 문자, 중간 서버에서 복호화 가능”… 암호화 무력화 확인

13일 국정원이 국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)에게 제출한 보고서에 따르면, 국정원은 지난 9월 “KT 일부 스마트폰에서 문자 암호화가 해제될 수 있다”는 제보를 받고 즉시 사실 관계를 검증했다.

조사 결과, KT의 일부 단말기에서 문자 통신이 ‘종단 암호화(End-to-End Encryption)’ 방식으로 보호되지 않아 중간 서버에서 복호화될 수 있는 취약점을 확인했다.

종단 암호화는 메시지가 발신자에서 수신자에게 전달되는 전 구간을 암호화해 제3자가 내용을 열람할 수 없도록 하는 국제 표준 보안 기술이다. 현재 이동통신 3사는 국제표준화기구(ISO)와 한국정보통신기술협회(TTA)의 권고에 따라 이 방식을 기본 적용하고 있다.

하지만 국정원 검증 결과, KT 일부 단말기에서는 이 보호 장치가 무력화돼 문자 데이터가 ‘평문’ 형태로 중간 서버에 노출될 가능성이 확인됐다.

국정원은 즉시 과기정통부와 KT에 사실을 통보하고, 보안 조치와 기술 원인 분석을 요청한 것으로 알려졌다.

다만 구체적인 기종, 발생 경위, 실제 정보 유출 여부 등 세부 내용은 공개되지 않았다.

◇  정부 합동조사단 “KT 전체망 재현 가능성 조사 중”

국정원 통보 이후, 정부와 민간 전문가가 참여한 KT 해킹 민관합동조사단이 구성돼 현재 정밀 분석을 진행 중이다.

조사단은 “일부 스마트폰의 문제에 그치는지, KT 전체 가입자망에서도 동일 현상이 발생할 수 있는지”를 핵심 쟁점으로 보고 있다.

앞서 KT는 소액결제 해킹 사건에서도 해커가 피해자의 문자 및 ARS 인증 정보를 탈취한 사실이 확인된 바 있다.

당시 조사단은 해커들이 불법 소형 기지국(일명 ‘펨토셀’)을 장악해 KT 코어망으로 전송되는 데이터 암호화를 해제하고, 평문 상태의 인증 정보를 가로챈 뒤 악용했을 가능성을 검증했다.

일부 전문가들은 펨토셀 하드웨어·소프트웨어를 조작하면 암호화가 해제된 문자나 음성 데이터도 탈취가 가능하다고 보고 있다.

현재 조사단은 결제 인증 정보뿐 아니라 일반 문자·음성 통화까지 외부 공격자가 접근할 수 있는가를 집중적으로 실험하고 있으며, 정보 유출 여부와 피해 규모를 분석 중이다.

KT 측은 이번 건에 대해 "현재까지는 공식 입장이 없다"고 답변했다. 

◇ 작년 서버 해킹도 은폐 의혹까지…  정부 “전면 재점검 착수”

한편, 국정원의 통보와 별개로, 지난해 KT 내부 서버가 악성코드 ‘BPF도어(BPFDoor)’에 감염됐음에도 이를 즉시 공개하지 않았다는 의혹도 불거졌다.

최민희 의원실이 과기정통부로부터 제출받은 자료에 따르면, KT는 지난해 3월 BPF도어 감염을 인지했지만 이를 보고 하지 않은 것으로 나타났다. 감염된 서버는 총 43대로, 이 중 일부에는 가입자 이름·전화번호·이메일·단말기 식별번호(IMEI) 등 개인정보가 포함된 것으로 확인됐다.

이후 지난해 4월 KT는  대만 보안업체 트렌드마이크로에 백신 업데이트를 요청했고, 해당 업체는 이후 한국 통신사를 겨냥한 공격 사례를 발표했지만 고객사 보호를 이유로 구체적 통신사명을 공개하지 않았다.

최민희 의원 측은 이와 같은 조치에 대해 “국정원이 KT의 문자 암호화 해제 문제를 통보한 것과 같은 맥락에서, KT가 내부 해킹 사실을 알고도 은폐했을 가능성을 배제할 수 없다”고 지적했다.

이에 KT는 “감염 사실은 지난해 4~7월 사이에 조치 완료했으며, 실제 피해 사례는 없었다”고 해명했다.

그러나 정부와 국정원은 “암호화 무력화, 악성코드 감염 등 일련의 사건이 국가 통신망 보안과 직결되는 만큼, 기술적 재발 방지 대책을 마련해야 한다”고 지적했다.

민관합동조사단은 문자 암호화 해제와 BPF도어 감염이 해킹 사건과 어떤 인과관계가 있는지, 그리고 실제 정보 유출이 발생했는지를 규명하기 위한 추가 분석을 이어가고 있다.

정부 관계자는 “KT는 국가 기간통신망을 운영하는 핵심 사업자인 만큼, 이번 사안은 단순한 기술적 오류가 아니라 관리 체계 전반의 문제로 볼 수 있다”며 “국정원·과기정통부·방송통신위원회가 공동으로 대응 체계를 강화할 것”이라고 밝혔다.

관련기사
저작권자 © 그린포스트코리아 무단전재 및 재배포 금지