정부 "KT, 작년 43개 서버 악성코드 발견하고 숨겼다” 작성일 11-06 43 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">침해사실 신고도 지연...과기정통부, 위약금 면제 사유 검토</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="qrLAl3DggC"> <p contents-hash="bf08618b7b946307476d165c6cab1eb5d1f43d0f24bda71d371621faeb311b45" dmcf-pid="BmocS0wagI" dmcf-ptype="general">(지디넷코리아=박수형 기자)KT가 지난해 3월부터 4개월 동안 BPFDoor, 웹셸 등 악성코드에 감염된 43대 서버를 발견하고도 정부에 신고하지 않고 자체적으로 조치한 것으로 드러났다.</p> <p contents-hash="3d932804cd8ce7f47c8d3b1b312d9fbbcd498a398cbaae3952cd9a94bb775b4c" dmcf-pid="bsgkvprNaO" dmcf-ptype="general">과학기술정보통신부가 꾸린 KT 침해사고 민관합동조사단은 일부 감염서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등이 저장된 점을 심각한 문제로 판단하고 관계기관에 합당한 조치를 요청키로 했다.</p> <p contents-hash="0652c89761f1d9f08a435a42e071e1ec229265210e4a65fa418c1e054cebb485" dmcf-pid="KOaETUmjas" dmcf-ptype="general">최우혁 과기정통부 네트워크정책실장은 6일 KT 침해사고에 대한 중간 조사 결과 브리핑을 열어 이같이 밝혔다.</p> <p contents-hash="0d783453950034e94f1aa33a4a34a83f34a8aa756decac46c6426b40ef9200ef" dmcf-pid="9INDyusAjm" dmcf-ptype="general">조사단은 ▲불법 펨토셀에 의한 소액결제와 개인정보 유출사고 ▲프랙보고서에 따른 KT 인증서 유출 정황 ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등을 조사해 사고원인을 분석했다.</p> <p contents-hash="6ecc9f2039e662a7ea7e837c92d4788cee86f8c8b66070dde02a21ead18a5b5a" dmcf-pid="2hArYzIkor" dmcf-ptype="general"><strong>KT, 2024년 3~7월 악성코드 감염 자체 확인</strong></p> <p contents-hash="ec69dfc026f73e17c97327d60bf76c522c01a387e292f59bbc20f4ddc621ac75" dmcf-pid="VlcmGqCEkw" dmcf-ptype="general">조사단은 서버 포렌식 분석 등을 통해 과거 KT에서 악성코드 침해사고가 발생했고, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다.</p> <p contents-hash="6919c6ce4227a652623fa43df918182f4e8fe3c2a0dc2275ee9775255a6fc46c" dmcf-pid="fSksHBhDAD" dmcf-ptype="general">KT는 지난해 3월부터 넉달 동안 BPFDoor, 웹셸 등 악성코드 감염서버 43대를 발견해 정부에 신고 없이 자체적으로 조치하고 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장되어 있음을 조사단에 보고했다.</p> <p contents-hash="12488084a8b07df4fcc9272f00c231ba15bdaba8d1885c3976ae78bdc0a7b65a" dmcf-pid="4vEOXblwjE" dmcf-ptype="general">조사단은 이 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획이다.</p> <p contents-hash="2ba4a0fc31abf2b64d1ccf25e73b4ecf36823debadd360df8bdbbd886b96994e" dmcf-pid="8TDIZKSrjk" dmcf-ptype="general">악성코드를 발견하고 신고하지 않은 행위는 정보통신망법에 따라 3천만원 이하 과태료 부과 대상이다.</p> <figure class="figure_frm origin_fig" contents-hash="d7329b765c8a4514092206ba40328cc42f6329e3b01261974690d99ad9abb0b4" dmcf-pid="6ywC59vmkc" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/ZDNetKorea/20251106140841139zpbw.jpg" data-org-width="640" dmcf-mid="z4yZBeFYkh" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/ZDNetKorea/20251106140841139zpbw.jpg" width="658"></p> </figure> <p contents-hash="ea3a6c420d082aa67747bf1ba8788e7ad79130cc0f7a9f3d5f2a115d589dbb94" dmcf-pid="PWrh12TsNA" dmcf-ptype="general"><strong>침해사고 신고 지연 사실 확인</strong></p> <p contents-hash="c582a9fe62787f9fc766e6ca79e2e6787b501c9bf046c70b45a161be0bcc7332" dmcf-pid="QYmltVyOkj" dmcf-ptype="general">KT는 지난 9월1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 9월5일 새벽 3시에 차단 조치했다.</p> <p contents-hash="842eba47a009ac93059299565ea71649c69997f4899c8c050ec691e0000873e6" dmcf-pid="xGsSFfWIkN" dmcf-ptype="general">이후 불법 펨토셀 ID의 존재를 확인한 뒤 9월8일 오후 7시 16분에 침해사고를 지연 신고했다.</p> <p contents-hash="6cea74c3958c03fb8689ddbbc886d8492639ba8d796d60d936ac7af01836e6a3" dmcf-pid="ye96gCMVoa" dmcf-ptype="general">아울러 지난 8월 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관해 KT는 8월1일 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나 실제 8월1일 2대, 8월6일 4대, 8월13일 2대에 걸쳐 폐기하는 등 폐기 시점을 당국에 허위 제출했다.</p> <p contents-hash="25e0fcd69f42bb3e2d746425e0f114244158a99f4fb59aa39c7581f98bf4ca2d" dmcf-pid="Wd2PahRfag" dmcf-ptype="general">특히 KT는 폐기 서버 백업 로그가 있지만 9월18일까지 조사단에 이를 보고하지 않았다. 이에 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법에 따라 10월2일 수사기관에 수사 의뢰했다.</p> <p contents-hash="628e4a18888e424e731e290eebd4a48d0bebcebdfbe12960a31b2d1885140b1d" dmcf-pid="YJVQNle4ao" dmcf-ptype="general">이와 함께 KT는 외부 업체를 통한 보안점검 결과를 통해 지난 9월15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나 9월18일 오후 11시 57분에애 침해사고를 늦게 신고했다.</p> <p contents-hash="b91744ef3d36d6da7ea9547139067d3ca1009984fc4ca8b422f14b7891d0f18e" dmcf-pid="G4UbREV7jL" dmcf-ptype="general"><strong>불법 펨토셀 피해 확대 가능성</strong></p> <p contents-hash="f13ca00c3cea2899d6d8d4785929760545c8913d59437e802a2d79c2bebae6e7" dmcf-pid="H8uKeDfzAn" dmcf-ptype="general">조사단은 침해사고로 인한 피해자를 빠짐없이 파악하기 위해 KT에 피해 조사 대상 확대와 분석방식을 개선할 것을 지속적으로 요구했다.</p> <p contents-hash="327225a358b013dbd273c1d9b5f5b6023112552f4aad48aa0acd7dba7d91fc0d" dmcf-pid="X679dw4qji" dmcf-ptype="general">KT는 이에 따라 지난해 8월부터 기지국 접속 이력 약 4조300억건과 모든 KT 가입자의 결제 약 1억5천만건 등 확보 가능한 모든 데이터를 분석해 불법 펨토셀 20개에 접속한 2만2천227명의 가입자 정보 유출 정황을 확인했다고 밝혔다.</p> <p contents-hash="63dbc6448fc2c786d2c2abd91ee2677f056c2abbc86f3407f4859caa3ed7112a" dmcf-pid="ZPz2Jr8BjJ" dmcf-ptype="general">KT가 밝힌 소액결제 피해 현황은 368명이 총 2억4천319만원에 이르는데 통신기록이 없는 지난해 8월1일 이전에 소액결제 피해도 일부 확인됐다.</p> <p contents-hash="94f0e1a35c747cdfc80ecd46f568998657522748582b7bc24f4fda6bd68150aa" dmcf-pid="5QqVim6bNd" dmcf-ptype="general">조사단은 향후 KT의 피해자 분석 방식 검증과 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.</p> <p contents-hash="619dd4f371f77ec2384e810f1898b8860fc061ea6a554baed27ba15ef5b93dd4" dmcf-pid="1xBfnsPKje" dmcf-ptype="general"><strong>“KT 펨토셀 관리 체계 부실”</strong></p> <p contents-hash="9dc7ec1d0fa4acee8ae82963030aca7fd3307069328f3a99654264b469ee3cb6" dmcf-pid="tMb4LOQ9NR" dmcf-ptype="general">조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이라는 점을 확인했다.</p> <p contents-hash="6d967c39de9bd12f954bc335ec6c9a926f3ebb8f297dbc3f724aef2015b80ad2" dmcf-pid="FRK8oIx2AM" dmcf-ptype="general">먼저 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능함을 확인했다. 또한 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점을 발견했다.</p> <p contents-hash="6490f384064f0714976f40f6b584c6d8cf73f6cd0fed85f448656656533634ef" dmcf-pid="3e96gCMVAx" dmcf-ptype="general">아울러 조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하고 추출하는 것이 가능한 점을 확인했다.</p> <p contents-hash="79ffb46444a104c236c4a7f57e7c6e3e35c1a6d32d58f598acbdd2a10c55b9bb" dmcf-pid="0d2PahRfaQ" dmcf-ptype="general">KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.</p> <p contents-hash="b0d6c1c8926885d851d4f0aff1d7e8cd456a673b088646f6ea60b52023eb34ad" dmcf-pid="pJVQNle4jP" dmcf-ptype="general"><strong>펨토셀 불법 장악으로 암호화 해제</strong></p> <p contents-hash="5adcfc5a5adcddbf553b456dc941d2d7e8c245a3814952d715ca410f7bb6352a" dmcf-pid="UifxjSd8a6" dmcf-ptype="general">KT는 국제표준화기구(3GPP), 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다.</p> <p contents-hash="b1351d2711aebec6e8b61b2a853414dc5ef01493abb7a2558ce1f95ce0341808" dmcf-pid="un4MAvJ6A8" dmcf-ptype="general">조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다.</p> <p contents-hash="37015a7c6864c83b591f74ebb2781ccec33edb43ac8609ba5f1e261f3ece37a6" dmcf-pid="7b1U8aqFN4" dmcf-ptype="general">불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.</p> <p contents-hash="19c6ad23dda9d25a07eb263cf3e6c840180f8ff9f40f9ce20f9adcadbbe0a8e9" dmcf-pid="zKtu6NB3gf" dmcf-ptype="general"><strong>과기정통부 “위약금 면제 사유 살피겠다”</strong></p> <p contents-hash="1bf99731b5f1ff3703265e93c60b05fb0c3d6444a5725d89131ef3b90d900cb4" dmcf-pid="q9F7Pjb0gV" dmcf-ptype="general">조사단은 중간 조사결과에서는 KT의 일반적인 망 관리 실태 조사, 테스트 환경에서의 검증을 통해 펨토셀 운영 및 내부망 접속 과정 상의 보안 문제점을 도출했다.</p> <p contents-hash="3fb79ce9c542e7a1bbbbaf06b0482a6b514caef8f17dc8642040ae7dc904513e" dmcf-pid="B23zQAKpA2" dmcf-ptype="general">이에 따라 최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안위협 요인을 파악하고 재발방지 대책을 마련하여 발표할 계획이다.</p> <p contents-hash="43068150b91ca4a84cede0c3c9fc40f2d1423885c0038e9711d2946451eff5d0" dmcf-pid="bV0qxc9UN9" dmcf-ptype="general">아울러 조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중이다. 개인정보위와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보하였는지 조사해 나갈 계획이다.</p> <p contents-hash="caebbd4e21627c4fcdb3b820548cf7df95a2bc0079016ce0e243b7b780c4b4cf" dmcf-pid="KfpBMk2uaK" dmcf-ptype="general">특히 과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하고 KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.</p> <p contents-hash="57fcd3952f5c6cbebdb81b817f789bf4491009bba6d879af952e694bec276cf4" dmcf-pid="94UbREV7kb" dmcf-ptype="general">박수형 기자(psooh@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 성해은, 다른 남자 손 잡았다…‘정현규와 결별’ 사실상 인정? 11-06 다음 반도체 다음은 '냉각'…삼성, 獨 플랙트 인수 마치고 AI 공조 '참전' 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
