[앵커]

온라인카지노 알파벳가 지난해 대규모 서버 해킹 사실을 알고도 당국에 신고하지 않고 은폐한 정황이 민관합동조사단의 중간 조사 결과를 통해 드러났습니다.

불법 소액결제 범죄에 악용된 소형 기지국, 펨토셀 보안 관리도 허술했습니다.

김동욱 기자입니다.

[기자]

온라인카지노 알파벳가 지난해 3월부터 7월 사이, 은닉성이 강한 악성코드 ‘BPF도어'에 서버 40여 대가 감염된 사실을 내부 조사로 확인하고도 이를 정부에 신고하지 않은 것으로 드러났습니다.

BPF도어는 올해 SK텔레콤 해킹 사태 때에도 큰 피해를 초래한 악성코드인데, 온라인카지노 알파벳가 이 같은 사실을 숨기면서 이후 정부의 전수조사에서도 감염 사실이 확인되지 않았습니다.

감염 서버에는 이름, 전화번호, 이메일, 단말기 식별번호 등 이용자 개인정보가 저장돼 있었습니다.

미국 프랙보고서에 언급된 국가 배후 조직에 의한 온라인카지노 알파벳 인증서 유출 정황과 관련해서는 온라인카지노 알파벳가 관련 서버 폐기 시점을 당국에 허위 제출하고, 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않은 것으로 조사됐습니다.

<최우혁 / 과기정통부 네트워크정책실장 "조사단은 온라인카지노 알파벳가 정부 조사를 방해하기 위한 고의성이 있다고 판단하고 형법 제137조에 따라 10월 2일 수사기관에 수사를 의뢰하였습니다."

조사단은 또, 온라인카지노 알파벳의 초소형 기지국 ‘펨토셀’ 보안이 허술해 불법 소액결제 사고의 접속 통로가 된 것으로 보고 있습니다.

KT에 납품된 모든 펨토셀이 동일한 인증서를 사용하고 있었고, 이 인증서를 복사하면 불법 펨토셀도 KT 내부망에 접속할 수 있었습니다.

인증서의 유효기간이 10년으로 설정돼 한 번이라도 접속한 펨토셀은 이후에도 지속적으로 접속이 가능했습니다.

또한, 펨토셀 제작 외주사에 온라인카지노 알파벳 내부망 정보와 인증서가 그대로 제공됐습니다.

온라인카지노 알파벳단은 불법 펨토셀이 결제 인증정보를 가로채 소액결제 피해를 유발했을 가능성을 확인하고 있으며, 문자나 통화 내용 탈취가 가능한지에 대해서도 추가 실험을 진행할 예정입니다.

과기정통부는 조사 결과를 토대로 온라인카지노 알파벳의 위약금 면제 여부 등도 검토할 방침입니다.

연합뉴스TV 김동욱입니다.

[영상취재 김동화]

[영상편집 김휘수]

연합뉴스TV 기사문의 및 제보 : 카톡/라인 jebo23

김동욱(DK1@yna.co.kr)