국정원 "KT 일부 스마트폰 문자 암호화 풀려"…BPF도어 해킹 은폐 정황도

[포쓰저널=김지훈 기자] 국가정보원이 9월 KT 스마트폰에서 문자 메시지(SMS) 암호화가 해제되는 현상을 직접 확인하고 이를 KT와 과학기술정보통신부에 공식 통보한 것으로 드러났다.

13일 국정원이 국회 과학기술정보방송통신위원장 최민희 의원(더불어민주당)에게 제출한 자료에 따르면 국정원은 "KT의 일부 스마트폰 기종에서 문자 암호화가 해제될 수 있다"는 제보를 입수한 뒤 사실관계를 검증했다.

검증 결과 문자 통신이 '종단 간 암호화(End-to-End Encryption)' 방식으로 보호되지 않아 중간 서버에서 복호화될 수 있는 취약점이 존재하는 것으로 확인됐다.

이동통신사들은 국제표준화기구(ISO)와 한국정보통신기술협회(TTA)의 권고에 따라 송신부터 수신까지 중간 서버가 내용을 복기할 수 없도록 종단 암호화를 적용하는데, KT 일부 단말기에서 보안 체계가 무력화된 것으로 파악됐다.

국정원은 “국가 기간통신망에 대한 해킹 가능성 등 국가 사이버안보 위해정보로 판단하고, 관련 정보를 KT와 과학기술정보통신부에 제공했다”고 말했다.

다만 국정원은 “세부 사항에 대해서는 국정원 정보역량 노출 우려가 있어 제출이 어렵다”며 암호화 해제가 발생한 구체적 기종이나 경위, 실제 정보 유출 여부에 대해서는 밝히지 않았다.

정부·민간 합동으로 구성된 KT 해킹 조사단은 국정원의 통보를 토대로 일부 스마트폰만의 문제가 아닌, KT 전체 가입자망에서도 동일 현상이 재현될 수 있는지 추가로 조사하고 있다.

아울러 KT가 지난해부터 장기간 ‘BPF도어(BPFdoor)’ 악성코드에 감염된 사실을 은폐해온 정황도 드러났다.

과기부에 따르면, BPF도어는 지난해 3월 19일 KT 내부 시스템에 설치됐다. 이 악성코드는 서버 침입 후 관리자 권한을 탈취해 외부 명령을 은닉 수행하는 고도화된 백도어 형태다.

KT는 약 한 달 뒤인 4월 11일 해당 악성코드를 발견하고도 즉각적인 보고 대신 자체 삭제와 OS 재설치 등 임시 조치를 취했다. OS 재설치는 사실상 서버 폐기를 의미한다.

당시 KT는 보안업체 트렌드마이크로에 관련 정보를 공유하고 백신 업데이트를 요청했지만, 과기정통부 등 관계 당국에는 정식 보고를 하지 않았다.

이후 올해 4월 14일 트렌드마이크로가 “국내 통신사들이 BPF도어 공격을 받은 사실이 있다”고 공개하면서, 정부와 민간 보안 전문가로 구성된 민관합동조사단은 BPF 탐지 전용 점검 툴 214종을 개발하고 통신 3사에 대한 점검을 실시했다. 이 과정에서 KT와 LG유플러스는 ‘문제 없음’ 판정을 받았다.

이는 KT가 사전에 BPF도어 공격 관련 자료를 모두 삭제하는 등 임시 조치를 취한 탓에, 포렌식 조사 없이 점검 툴만으로는 감염 흔적을 탐지할 수 없었기 때문이다.

올해 11월 민관합동조사단이 KT 서버를 포렌식한 결과, BPF도어 악성코드가 설치됐던 서버 43대 가운데 일부에서 백신 실행 및 삭제 이력이 확인됐다. 이 중에는 개인정보를 보관하는 서버도 포함돼 있었다.

최 의원은 지난달 2일 이와 관련 자료를 KT 측으로 보냈고, 지난해 BPF도어 악성코드 해킹 여부와 피해 여부 제출을 요구했으나, KT는 “피해사례가 없었고, 해당 내용에 대해 과기부 공식 보고 내역은 없다”고 해명했다.

최 의원은 KT 경영진의 책임을 끝까지 묻겠다는 입장이다.

현재 정부·민간 합동 조사단은 문자 암호화 해제와 BPF도어 감염이 해킹 사건과 어떤 인과관계가 있는지 그리고 실제 정보 유출·피해 여부를 규명하기 위해 조사를 이어가고 있다.

이와 관련해 KT는 별다른 입장을 밝히지 않았다.