KT(64,500원 ▲200 +0.31%) 해킹 사태 파장이 계속되는 가운데 이용자들의 일반 문자 및 통화 내용까지 탈취됐을 가능성도 제기된다. 범죄자들이 종단 암호화를 해제했던 것으로 파악되기 때문이다.
10일 뉴스1에 따르면 민관 합동조사단은 KT 해킹 사태 관련 불법 펨토셀을 통해 소액결제 인증 정보 외 어떤 정보에까지 접근할 수 있었는지 등에 대한 조사를 이어가고 있다.
합동조사단은 해커들이 불법 펨토셀에서 소액결제 인증정보(ARS, SMS) 등 종단 암호화 과정을 무력화해 해당 정보를 탈취한 것으로 판단했다.
종단 암호화는 단말에서 코어망까지 문자 및 음성 시그널링(통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보)을 암호화하는 것이다. 해커들은 이 암호를 풀고 평문의 인증정보를 탈취해 범행에 사용한 것으로 보인다.
종단 암호화를 해제하는 것이 가능했다면 소액결제 관련 인증 정보뿐만 아니라 일반 문자, 음성통화 내용 등의 탈취가 이루어진 것 아니냐는 우려도 나온다.
해커들이 일반 문자나 통화 내용까지 가로챌 수 있다면 이번 사태의 심각성은 더욱 커질 수밖에 없다. 범죄자들이 국가 안보 또는 특정 산업의 주요 정보를 탈취하기 위해서 범행을 계획할 수도 있기 때문이다.
사건 초기부터 범죄자들이 소액결제 해킹을 넘어 더 광범위한 정보 수집을 목표로 범행 시도했을 것이라는 분석도 꾸준히 제기돼 왔다.
합동조사단은 일반 문자 및 음성 통화 도청 등 관련해서 전문가 자문, 추가 실험 등을 통해 조사를 이어갈 방침이다.
KT가 정부에 신고하지 않은 악성코드 감염 서버도 향후 합동조사단의 조사에서 예의주시해야 할 부분이다. 현재까지 명확하게 드러나지 않았던 소액결제에 필요한 개인정보 등이 해당 서버에서 빠져나갔을 가능성도 있다.
합동조사단은 KT가 지난해 3월~7월에 43대의 서버가 BPF도어, 웹셸 등에 감염됐던 사실을 파악하고도 정부에 신고하지 않았다고 밝혔다. 일부 감염 서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등이 저장돼 있던 것으로 파악됐다.
감염 서버 중에는 펨토셀 관련 정보를 다루는 서버도 포함된 것으로 드러났다. 소액결제 사태와 침해 서버와의 연결성을 밝혀내는 것도 추후 합동조사단의 풀어야 할 부분이다.
독자들의 PICK!
조사단 관계자는 "관련 서버 포렌식 등 아직은 조사가 더 필요하다"며 모든 가능성을 열어두고 조사를 진행하겠다고 밝혔다. 추후 조사 결과에 따라 KT 해킹 사태의 피해자 수, 피해 규모 등도 늘어날 수 있다.
