과기정통부 "SKT와 KT, BPF도어 공격 유사…동일범 단정은 어려워"(종합2보)

中 배후 특정 어려워…BPF도어 '오픈소스화' 측면 배제 못해

'불법 펨토셀' 침투에 재발방지 조치…'추가 침해' 가능성 없어

(서울=연합인포맥스) 최정우 기자 = 과학기술정보통신부는 KT[030200]의 해킹 사태와 관련 KT 서버에서 발견된 BPF도어가 SK텔레콤 서버에 침투했던 악성코드와 유사성이 존재한다고 진단했다. 다만, 두 회사에 침투한 악성코드인 BPF도어가 동일범의 소행인지는 단정하기 어렵다는 입장을 밝혔다.

앞서 지난 7월 SK텔레콤의 개인정보 유출 사태 당시 총 28대 서버에서 BPF도어 계열 27종을 포함해 모두 33종의 악성코드 감염이 확인된 바 있다. KT의 경우에도 총 94대 서버에서 BPF도어, 루트킷 등 103종의 악성코드 감염이 확인됐다.

BPF도어 등 악성코드 감염과는 별개로, 무단 소액결제 사태를 일으켰던 불법 펨토셀(초소형 기지국)의 추가 망 침투 가능성에 대해서는 선을 그었다.

◇ SKT와 BPF도어 공격 유사…中 배후는 특정 어려워

류제명 과기정통부 2차관은 29일 'KT 침해사고 최종 조사 결과' 브리핑에서 "SK텔레콤의 BPF도어 공격 패턴이나 내부 기술적 분석 결과를 통해서 유사성은 있다고 판단된다"면서 "다만, 정확하게 같은 공격자인지를 단정하는 것에는 조금 한계가 있다고 판단한다"고 설명했다.

SK텔레콤과 KT 등 정보 유출 해킹 사태에 있어 BPF도어를 활용한 악성코드가 연달아 발견되면서 공격 주체에 대한 관심이 커지고 있다.

일각에서는 BPF도어가 중국 배후의 해킹그룹에 의해서 만들어져 대규모 해킹 사태를 발생시키고 있다는 의견이 나온다.

류제명 2차관은 이에 대해 "(BPF도어가) 일반적으로 중국 해커 그룹이 만들었다는 게 통설이지만, 그것도 어떤 국가기관이나 (그 사실을) 인증해 주는 기관에 의한 공식적인 확인 및 정의는 아니다"면서 "공격 시점 등을 봤을 때 오픈소스화된 이후에 이루어진 정황들을 감안해 어떤 의심되는 국가 배후의 공격인지, 오픈소스화된 이후 공격자에 의한 공격인지는 단정하기 어렵다"고 설명했다.

이어 "이번 조사와 관련된 상세한 내용은 정부 기관에 공식적인 요청에 따라 서로 공유하고 협조했다"고 덧붙였다.

◇ 무단 소액결제 일으킨 '불법 펨토셀'…"추가 침투 없을 것"

과학기술정보통신부는 KT[030200] 무단 소액결제 사태를 일으켰던 불법 펨토셀(초소형 기지국)과 관련해서는 추가 망 침투 가능성이 없을 것이라고 판단했다.

류제명 과기정통부 2차관은 "불법 펨토셀에 의한 이번 공격은 기존의 사이버 해킹 사고의 유형과는 다른 통신망에 대한 직접적인 침투였다"면서 "현재로서는 인증되지 않는 불법 펨토셀에 의한 망 침투 가능성이 취약점들에 대한 보안 조치에 따라 없다고 판단한다"고 설명했다.

류 차관은 이어 "KT의 경우 펨토셀 관리와 관련된 인증 관리부터 여러 가지 보안 조치들을 한 상태"라며 "지속적인 망 운영을 통해서 모니터링을 하고 있고, 모니터링 결과 발생된 (추가적인) 의심 정황이나 침투는 없었다"고 덧붙였다.

KT는 BPF도어와 루트킷 등 악성코드가 인터넷 연결 접점이 있는 서버에 침투하면서 개인 정보 유출 등 사태로 이어졌다.

또한 서버 감염과는 별도로 불법 펨토셀이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호를 탈취했고, 무단 소액결제 사태를 일으켰다. 불법 펨토셀을 통해 피해를 본 이용자는 2만2천227명, 무단 소액결제 피해자는 368명, 피해액 2억4천300만원이다.

과기정통부는 제조사가 펨토셀 생산 시 인증서, 통신사 인증서버 IP, 셀ID에 대한 보안정책을 마련하라고 KT에 주문했다.

또한 펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 탐지·차단 등 기술적 조치를 취하고, 펨토셀 보안 취약점 발굴·조치를 위한 화이트해커와의 협력 등 지속적 관리체계를 구축·운영하라는 보안 조치를 통보했다.

jwchoi2@yna.co.kr