국정원, KT 단말 문자 암호화 해제 직접 확인…정부·KT에 긴급 통보
조사단, 불법 기지국 통한 평문 탈취 검증…추가 피해 여부 전면 조사
KT, BPF도어 감염 알고도 은폐 정황…43대 서버 해킹 사실 드러나
KT 이용자 일부 스마트폰 단말에서 문자 메시지 데이터 암호화 해제 현상이 발생한 것으로 확인됐다.
13일 국회 과학기술정보방송통신위원회 최민희 위원장에 따르면, 국가정보원은 지난 9월 KT 일부 단말의 문자 통신 암호화가 해제되는 사실을 직접 검증하고 과학기술정보통신부 및 KT에 이를 통보했다.
국정원은 문자 내용이 제3자에게 노출될 가능성을 검증하고, 이를 국가 기간통신망 해킹 등 사이버안보를 위협할 수 있는 정보로 판단해 정부와 KT에 통보했다.
이동통신사들은 국제표준화기구(ISO)·한국정보통신기술협회(TTA) 권고에 따라 통신을 시작하는 단계부터 최종 수신까지 모든 과정에서 중간 서버에서 데이터를 복기할 수 없도록 ‘종단 암호화’를 적용하고 있다.
그러나 국정원은 KT 일부 스마트폰에서 이 암호화가 풀리는 현상을 직접 확인했다. 다만 어떤 경위로 해제됐는지, 구체적인 기종이나 실제 유출까지 이어졌는지 등은 공개하지 않았다.
민관합동조사단은 국정원 통보 이후 KT 가입자 전체를 대상으로 같은 현상이 재현될 가능성이 있는지 전면 조사에 착수했다.
조사단은 지난 6일 중간 브리핑에서 KT 무단 소액결제 사건 당시 불법 기지국(펨토셀)을 조작해 ARS·문자 데이터 암호화를 해제, 평문으로 탈취한 뒤 인증과 결제에 활용한 사실을 기술적으로 검증한 바 있다. 현재는 인증정보 외에도 일반 문자·통화 데이터에도 외부 공격자가 접근할 수 있는지 추가로 분석하고 있다.
한편 KT는 지난해 3월 ‘BPF도어’ 악성코드에 공격을 받고 다음 달 사실을 인지했음에도 이를 은폐한 정황이 드러났다. 침해 이후 보안업체 ‘트렌드마이크로’에 백신 업데이트를 요청한 것이 뒤늦게 파악됐다.
트렌드마이크로는 해커가 지난해 한국 통신사에 BPF도어 악성코드 공격을 했다는 분석을 발표했지만, 어느 통신사인지는 밝히지 않았었다.
당시 KT는 BPF도어 피해 사실과 트렌드마이크로에 백신 업데이트를 요청한 사실을 함구했고, 이후 올해 10월 2일 최민희 의원실에서 BPF도어 피해 사례를 묻는 질문에 “피해 사례가 없었다”고 답했다.
하지만 조사단 포렌식 결과 43대의 서버가 BPF도어 악성코드에 감염된 것으로 나타났다.
최 의원은 “국정원이 문자 암호화가 해제된다는 사실을 KT에 통보했음에도 대응이 제대로 안 됐고, BPF도어 악성코드 감염 사실을 알고도 KT가 조직적으로 은폐한 것이 드러났다”며 “KT 경영진의 책임을 끝까지 묻을 것”이라고 밝혔다.