「KTの無断少額決済ハッキング事故は国家基幹通信網の盗聴事故と解釈できる。」
国会国家未来戦略技術フォーラムが「危機のK-セキュリティ、グローバルハッカーの標的となった韓国」をテーマに13日、ソウル・汝矣島の国会議員会館で、崔炯斗・国民の力議員と金漢圭・共に民主黨議員の主催で開かれた。この日、金容大・カイスト電気電子工学部教授は「国際標準化機構(3GPP)と韓国情報通信技術協会(TTA)の標準勧告を準用しても、フェムトセル(小型基地局)を通じたハッキング時、メッセージは暗号化されても通話内容は暗号化されない」と述べ、こう主張した。
科学技術情報通信部が運営中の民官合同調査団は、昨年8月1日から今年9月10日までに違法フェムトセル20台を通じてKT加入者2万2227人の個人情報が流出し、368人が2億4319万ウォンの少額決済被害を受けた事実を確認したと6日に発表した。KT無断少額決済事件の犯行手段としては、超小型基地局であるフェムトセルが違法に悪用されたと把握されている。
KTハッキング事故でハッカーが無断少額決済のために必要だった情報は、名前、電話番号、生年月日、そしてARS決済認証番号およびSMS認証だった。金教授は「ハッカーの立場から個人情報を入手するのは難しくないが、その次の情報は通話内容を聞かなければ得られなかったはずだ」と指摘した。金教授は「本来はフェムトセル機器をLANケーブルに挿す必要があるが、実験してみるとフェムトセルをエッグ(携帯用インターネットルーター)と予備バッテリーに取り付ければ、どこでも持ち歩いて盗聴が可能だった」とし「これを10年前に通信3社に通報した」と述べた。
金教授が参加したカイスト研究チームは2014年、ハッカーがフェムトセルをハッキングすると通話盗聴を含む複数のセキュリティ脆弱性がある点を通信3社に伝えた。金教授はこの日、通信3社に伝達した動画も公開した。
KTは2016年から25万6000台のフェムトセルを普及させてきたが、当該機器がすべて一つの証明書を使用しており、違法フェムトセルが容易にKTの内部網にアクセスできる構造だった。金教授は「KTが数十万台のフェムトセルを一つの認証キーで管理していたが、これを中国側から持ち込んだ機器を通じて破られ、盗聴が行われた」とし、「その気になれば違法フェムトセルがKTの網にいくらでも接続できる構造だった」と語った。金教授は「しかし当該組織の一部が逸脱し、現金を稼ごうとして少額決済を行い、事件が明るみに出た」とし、「結局、単純な少額決済事件で終わらせることはできない事案だった」と懸念を示した。
KTハッキング事故以降、構造的問題に対する警告が続いている。国家情報院が最近、国会科学技術情報放送通信委員長である崔珉姫・共に民主黨議員に提出した資料によると、9月に一部のKTスマートフォンでショートメッセージ(SMS)の暗号化が解除される現象を確認した後、これを国家サイバー安全保障を脅かしうる重大な情報と判断し、KTと科学技術情報通信部に公式通報した。国家情報院は、文字通信が「エンドツーエンド暗号化(End-to-End Encryption)」方式で保護されておらず、中間サーバーで復号され得る脆弱性を確認した。
金教授は、韓国がハッカーの標的になったことについて法的問題を言及した。現在、情報通信網法48条1項は「誰であれ正当なアクセス権限なしに、または許容されたアクセス権限を超えて情報通信網に侵入してはならない」と明示している。金教授は「ハッカーは企業網の脆弱性を見つけて攻撃するが、韓国インターネット振興院(KISA)に、企業に対して網の脆弱性を見つけて知らせるべきではないかと尋ねると、48条1項の法違反で不可能だと言われた」とし、「当該法条のために韓国はハッカーから攻撃されやすい」と述べた。
この日、金在基・S2W脅威インテリジェンスセンター長は「拡張するサイバー脅威:仮想世界から産業現場まで」をテーマに発表し、協力会社を通じたハッキング攻撃を警告した。金センター長は「最近、企業が業務を進めるにあたり、すべてを自社で処理するよりも外部業者と協力することが増えた分、管理とセキュリティに対するリスク露出も大きくなり、対応にも協業が必要な状況だ」と述べた。
金センター長は、政策面では機微情報および個人情報保護に関するセキュリティ要件を契約書に明確に明記し、インシデント対応計画を策定する際には事故発生時の対応手順と責任範囲を明確に規定すべきだと助言した。実務的な方策として、△継続的なセキュリティ監査と流出情報のモニタリングによるセキュリティ維持△受託先のセキュリティ措置の定期的な点検および評価△受託先従業員を対象とした個人情報保護に関する教育および訓練の実施を提案した。