투데이e코노믹 = 우혜정 기자 | KT의 보안 관리 부실이 연이어 드러나며 파문이 커지고 있다. 국가정보원이 KT 일부 스마트폰에서 문자메시지(SMS) 암호화가 해제되는 중대한 취약점을 직접 확인한 데 이어, 지난해 발생한 BPF도어(BPFDoor) 악성코드 감염 사실을 KT가 조직적으로 은폐했다는 의혹까지 제기되면서 KT의 보안 체계가 총체적으로 흔들리고 있다는 지적이 나온다.

13일 국회 과학기술정보방송통신위원장인 더불어민주당 최민희 의원이 국정원으로부터 제출받은 자료에 따르면, 국정원은 지난 9월 “KT 일부 스마트폰 기종에서 문자 암호화가 해제될 수 있다”는 제보를 토대로 자체 조사를 실시한 결과, 문자 통신이 종단 암호화(End-to-End Encryption) 방식으로 보호되지 않고 중간 서버에서 평문으로 복호화될 수 있는 취약점을 발견했다.

이동통신사는 국제표준화기구(ISO), 3GPP, 한국정보통신기술협회(TTA) 권고에 따라 송신자와 수신자 외에는 누구도 내용을 해독할 수 없는 종단 암호화를 적용하는 것이 표준이다. 그러나 국정원은 KT 일부 단말기에서는 이 기본적인 보안 장치가 작동하지 않았다고 확인했다. 암호화 해제가 발생한 구체적 기종, 기술적 원인, 실제 유출 여부 등은 공개되지 않았다.

정부·민간 합동조사단은 국정원의 통보 내용을 토대로 특정 기종의 문제가 아닌지, 더 나아가 KT 전체 가입자 망에서 동일한 현상이 재현될 가능성이 있는지 보안 검증을 확대하고 있다. 이는 올해 8월 대규모 무단 소액결제 사태와는 별개지만, 불법 팸토셀 접속 이력이 없는 고객조차 문자 보안 위협에 노출됐을 수 있다는 점에서 우려가 확산되고 있다.
 

악성코드 감염 은폐 의혹 제기

이번 사태는 KT의 장기적·구조적 보안 부실 문제로 이어지고 있다. 최민희 의원이 과학기술정보통신부를 통해 확보한 또 다른 자료에 따르면, KT는 지난해 3월 BPF도어 악성코드 감염을 인지했고, 다음 달에야 문제를 확인한 뒤 대만 보안업체 트렌드마이크로에 백신 업데이트를 요청했다.

트렌드마이크로는 이후 한국 통신사를 노린 BPF도어 공격 사례를 분석해 발표했지만, 고객사 사정을 이유로 특정 통신사명을 공개하지 않았다. 최 의원은 “KT가 감염 사실을 알고도 외부에 알리지 않고 내부적으로 은폐했다”며 “국정원 문자 암호화 해제 통보에도 제대로 대응하지 않았다”고 강하게 비판했다.

조사 과정에서 BPF도어에 감염된 것으로 확인된 서버 43대 가운데에는 가입자 개인정보가 저장된 서버도 포함된 것으로 드러났다.

KT는 이에 대해 “당사가 악성코드를 식별하고 조치한 시점은 4~7월로, 트렌드마이크로가 언급한 날짜와 일부 차이가 있다”고 해명하며 은폐 의혹을 부인했다.

정부·민간 합동조사단은 국정원이 확인한 암호화 해제 문제와 BPF도어 감염 사이의 연관성, 해킹 경로, 실제 정보 유출 여부 등을 규명하기 위한 조사를 이어가고 있다.

최민희 의원은 “KT의 반복적인 보안 실패는 단순 사고가 아니라 구조적 문제”라며 “경영진의 책임을 명확히 묻겠다”고 밝혔다.