KT, 악성코드 감염 서버 43대 발견하고도 ‘미신고’…정보유출 화 불렀다 작성일 11-06 13 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">펨토셀→코어망 암호화 해제돼 평문 탈취<br>2024년 악성코드 감염 43대 발견했으나 미신고</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="YEe6qRtWrQ"> <p contents-hash="5ef4bb7e7cd2ef4007c3a1047f1579a7dffd232fa1ca0c53e62dcc1b921b1b4e" dmcf-pid="GDdPBeFYIP" dmcf-ptype="general"> [이데일리 권하영 기자] 무단 소액결제 피해 사고가 발생한 KT(030200)가 2024년 3월부터 7월까지 서버의 백도어(BPFDoor) 등 악성코드 감염 사실을 숨긴 것으로 나타났다. 또한 기지국 장비(펨토셀) 부실 관리로 평문 인증 정보가 탈취돼 무단 소액결제로 이어진 것으로 조사됐다.</p> <figure class="figure_frm origin_fig" contents-hash="b1777f88245232017c0d6bb03fc8222ad2f9b4854c7d636cf4c01b1247f9496e" dmcf-pid="HwJQbd3GI6" dmcf-ptype="figure"> <p class="link_figure"><img alt="[이데일리 이영훈 기자] KT가 해킹 피해 후속 대책으로 전 가입자를 대상으로 무상 유심 교체를 시작한 5일 서울 KT플라자 여의도역점에 유심 교체 안내 포스터가 붙어 있다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/Edaily/20251106140150621gbqk.jpg" data-org-width="670" dmcf-mid="WgDNREV7sx" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/Edaily/20251106140150621gbqk.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> [이데일리 이영훈 기자] KT가 해킹 피해 후속 대책으로 전 가입자를 대상으로 무상 유심 교체를 시작한 5일 서울 KT플라자 여의도역점에 유심 교체 안내 포스터가 붙어 있다. </figcaption> </figure> <div contents-hash="db7243ac3805360f4380dcd951cb818239e2bc32ed912a8ac17712be545a1558" dmcf-pid="XrixKJ0HI8" dmcf-ptype="general"> 6일 과학기술정보통신부는 KT 침해사고 민관합동조사단이 KT 침해사고에 대한 중간 조사결과를 이같이 발표했다. </div> <p contents-hash="96410152e3de931f4c33b61f012d8b65eb96d905943a953f576f7af6847b30c5" dmcf-pid="ZWDNREV7O4" dmcf-ptype="general">지난 9월 8일 KT는 소액결제 피해자의 통화이력을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 과기정통부는 국민 금전 피해 발생 등 사고의 중대성과 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 9월 9일부터 조사단을 구성·운영하고 있다.</p> <p contents-hash="24ad7a1dcd9e3950eface2b377b43d7172274ad402e0d41663d301cdf23bc6a8" dmcf-pid="5YwjeDfzOf" dmcf-ptype="general">조사단은 중간 조사결과에서 KT의 망 관리 실태 조사 및 테스트 환경 검증을 통해 펨토셀 운영 및 내부망 접속 과정상의 보안 문제점을 도출했다.</p> <p contents-hash="75787b16a038bee0d2a8e087e4ef434a56a8365aecb13eefc3e6675d29ca7831" dmcf-pid="1GrAdw4qEV" dmcf-ptype="general">KT는 2024년 8월 1일부터 2025년 9월 10일까지 모든 기지국 접속 이력 약 4조 300억건 및 모든 KT 가입자 결제 약 1억 5000만건 등 확보 가능 데이터를 분석한 결과, 불법 펨토셀 20개에 접속한 2만 2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황, 368명이 2억 4319만원의 소액결제 피해를 확인했다.</p> <p contents-hash="f672a2ea13d35f2b95dcc687d71b3c73729a6232d153aa387b57287138e10d85" dmcf-pid="tHmcJr8Bw2" dmcf-ptype="general">다만 통신기록이 없는 2024년 8월 1일 이전의 피해에 대해서는 파악이 불가능했으며, 적은 수지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다. 향후 조사단은 최종 피해 규모를 발표할 계획이다.</p> <p contents-hash="7b5de4b3b727326e81dfb68997860f1721fd2b752a5bc8e5a80e85d27b788f5a" dmcf-pid="FXskim6br9" dmcf-ptype="general"><strong>불법 펨토셀이 KT 내부망에 쉽게 접속 가능</strong></p> <p contents-hash="770e19d01428902d310f45064ddf38d1c620d54445e206d492e4cb040835bce2" dmcf-pid="3ZOEnsPKmK" dmcf-ptype="general">조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어, 해당 인증서를 복사하는 경우 불법 펨토셀도 KT 망에 접속이 가능했다. 또한 KT 인증서 유효기간이 10년으로 설정돼 한 번이라도 접속 이력이 있으면 지속적으로 KT 망에 접속할 수 있었다. 펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 추출하는 것이 가능함도 확인했다.</p> <p contents-hash="b7a204742fc64ab5aab3c5af9d7284d2c7e48a2df652779365cce5c91fc90a12" dmcf-pid="0YwjeDfzOb" dmcf-ptype="general">아울러 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT 망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.</p> <p contents-hash="bf54b288c5c69cb673927a2d87a99731453498e1f359143caeeddb3bbd91a17f" dmcf-pid="pGrAdw4qOB" dmcf-ptype="general">조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 전면 제한(9월 10일)하는 한편, KT에 △펨토셀이 발급받은 통신사 인증서 유효 기간 단축(10년→1개월, 9월 10일) △펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단(9월 23일) △펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증(10월 3일~) △펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치토록 했다.</p> <p contents-hash="1cced758eba0f38d194a25bb910a8f6004a239f18c59c095f3f4610ba95be2ae" dmcf-pid="UHmcJr8BOq" dmcf-ptype="general">또한 조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 또한 불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자·음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.</p> <p contents-hash="964b80b8a443fbec72c6963e83b249339d113a7f1b4539a233de2be5875a599f" dmcf-pid="uXskim6bwz" dmcf-ptype="general"><strong>백도어 감염 사실 미신고…유출 정황도 신고 지연</strong></p> <p contents-hash="5342b160b78a59563c84adb67c6fd47373f852099c4e95c0f99217664c2d715b" dmcf-pid="7ZOEnsPKm7" dmcf-ptype="general">조사단은 서버 포렌식 분석 등을 통해 과거 KT에 리눅스 기반 백도어(BPFDoor) 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. KT는 2024년 3월부터 7월까지 BPFDoor, 웹셸 등 악성코드 감염 서버 43대를 발견했으나 정부에 신고 없이 자체적으로 조치했고, 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장돼 있음을 보고했다. </p> <p contents-hash="45969e3b9f66df736f5f10d3e05401bb5637e98f7dc9ac8efb171529267c5072" dmcf-pid="z5IDLOQ9Ou" dmcf-ptype="general">조사단은 해당 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획이다.</p> <p contents-hash="b1183dd49b2e186fc50c6bd271bcb1acca87839bc91ba280d8ba7854da7e8c2e" dmcf-pid="q1CwoIx2EU" dmcf-ptype="general">KT는 무단 소액결제 및 침해사고도 지연신고했다. 2025년 9월 1일에 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 차단 조치(9월 5일 오전 3시)했음에도, 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일 오후 7시 16분에 침해사고를 지연신고했다.</p> <p contents-hash="edf9a5dea374b32b4b314f76fe3674ec01c821ff730c1bd365d65eab7d35517a" dmcf-pid="BMq0YzIkEp" dmcf-ptype="general">8월 8일 발표된 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해서는, 8월 1일에 관련 서버를 폐기했다고 KISA에 답변했으나 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대)에 걸쳐 폐기하는 등 폐기시점을 당국에 허위 제출했다. 또한 KT는 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다. </p> <p contents-hash="452779d64d537f3b679079582671919cf5780a76afe546544c72afa0dbc82bfd" dmcf-pid="bRBpGqCEs0" dmcf-ptype="general">조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법 제137조 위계에 의한 공무집행방해에 따라 10월 2일 수사기관에 수사 의뢰했다.</p> <p contents-hash="4498657e5ac5b7699f1b14c177966f145e299cd945ab4014d4adc18a3992ce2d" dmcf-pid="KebUHBhDr3" dmcf-ptype="general">KT는 외부 업체를 통한 보안점검 결과를 통해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나, 9월 18일 오후 11시 57분에야 당국에 침해사고를 지연신고했다. 향후 침해 관련 서버에 대한 포렌식 분석을 통해 사고 원인 및 KT의 보안 취약점을 도출할 계획이다.</p> <p contents-hash="a5516d112d2cb8acdeb91815591cc880096672a66bf3e0a7c43f19658df6df05" dmcf-pid="9dKuXblwwF" dmcf-ptype="general">조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중에 있으며, 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사 중이다.</p> <p contents-hash="bfdbd5a828ec7dedc66445c91893f132f5c1230aed1940de2e2a6bb3e6103b9e" dmcf-pid="2J97ZKSrrt" dmcf-ptype="general">과기정통부는 KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.</p> <p contents-hash="ef6401c0d90b63a6938c0bd5fa0619e70931b94e4075367175f18f51c7e719ad" dmcf-pid="Vi2z59vmI1" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 ‘착한여자 부세미’ 진영 “고구마? 적은 분량? 도전의 의지 앞엔 문제 안 됐죠”[스경X인터뷰] 11-06 다음 KT 해킹법, 불법 펨토셀로 통신망 암호 풀고 ARS·문자 인증정보 빼갔다 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
