민관합동조사단 “KT, 지난해 서버 43대 악성코드 감염…정부 신고 안했다“ 작성일 11-06 42 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">KT 해킹 사고 관련 중간 조사 결과 발표<br>불법 소형 기지국 통한 무단 소액결제 외에도<br>지난해 서버 악성코드 침해사고 발생 확인<br>서버 43대 감염에도 KT 자체 조치 후 미보고<br>성명·전화번호 등 개인정보 저장되어 있어</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="PTtaLOQ9lr"> <figure class="figure_frm origin_fig" contents-hash="da2cc873dbef68623493aec682ab6dba2faae6fc69f49bc9bd11a5b66c982df2" dmcf-pid="QyFNoIx2lw" dmcf-ptype="figure"> <p class="link_figure"><img alt="서울 KT광화문 사옥의 모습. [매일경제DB]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/mk/20251106150607832fqme.jpg" data-org-width="700" dmcf-mid="8HKOrHaeWs" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/mk/20251106150607832fqme.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서울 KT광화문 사옥의 모습. [매일경제DB] </figcaption> </figure> <div contents-hash="87d8fce4c51e2ca2a978b1a8c49d589fbecd410799d0b61e256cdfc392d731c6" dmcf-pid="xW3jgCMVWD" dmcf-ptype="general"> 올해 불법 소형 기지국(펨토셀)을 활용한 침해 사고뿐만 아니라 KT가 지난해 악성코드 공격에도 당했던 것으로 나타났다. 개인정보가 포함된 서버 등 43대 서버가 감염됐지만 KT는 당국에 신고하지 않았다. </div> <p contents-hash="c1d02a9acf8cd48560822e9b00463e82045366853abd3f6fe5797fbd1e42d032" dmcf-pid="yMapFfWIvE" dmcf-ptype="general">KT 침해사고를 조사하는 민관합동조사단은 6일 중간조사 결과를 발표하며 “서버 포렌식 분석을 통해 과거 KT에 BPF도어(BPFDoor) 등 악성코드 침해사고가 발생했으며, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다”고 밝혔다.</p> <p contents-hash="17103b7da0737ca64de0820ac83e51d77fd03cc61f9d03f0fae958fc1cf51428" dmcf-pid="WRNU34YCSk" dmcf-ptype="general">지난해 3월부터 7월까지 KT는 BPF도어, 웹셀 등 악성코드에 감염된 서버 43대를 발견했는데 이를 숨긴 정황이 드러난 것이다. 감염된 서버 중 일부 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 같은 정보가 저장돼 있는 것으로 확인됐다.</p> <p contents-hash="17526ec0e63aa4b6e565b3a3a755a8e4f7200355dab1570c555900bd72f69029" dmcf-pid="Yeju08Ghlc" dmcf-ptype="general">감염 서버를 통해 데이터 유출이 이뤄졌는지는 확인되지 않았으며, 조사단은 해당 사안에 대한 사실 관계를 밝히고 관계 기관에 합당한 조치를 요청한다는 계획이다.</p> <p contents-hash="03550bd9723e951e20292a9fc8c45dd71b487ddae7ba70e995fbadaea7f1d2a4" dmcf-pid="GdA7p6HlyA" dmcf-ptype="general">이외에도 KT는 미국 보안 전문지 프랙 보고서에서 언급됐던 국가 배후 조직에 의한 KT 인증 유출 정황과 관련해 서버를 폐기했다고 한국인터넷진흥원(KISA)에 허위 보고한 바 있다. 또한 폐기 서버의 백업 로그가 있었음에도 조사단에 9월 18일까지 이를 보고하지 않았다. 조사단은 공무집행방해로 KT를 수사기관에 수사 의뢰한 상태다.</p> <p contents-hash="0298bbbbe46c59b218442717643b328f0d4e6ff416fd3b39ab5dc9a95f9d862e" dmcf-pid="HJczUPXSCj" dmcf-ptype="general">이와 별개로 KT는 올해 9월 18일 서버 침해 흔적 4건과 의심 정황 2건 등 추가 침해사고를 신고한 상태다. 조사단은 침해 관련 서버에 대한 포렌식 분석을 진행해 사고 원인과 보안 취약점을 도출한다는 계획이다.</p> <div contents-hash="893293ca7eaac54c68a337b0413f48448264875ae71fd134c5d048f0695a1a50" dmcf-pid="Xgr9BeFYlN" dmcf-ptype="general"> <div> <strong>KT, 모든 펨토셀에 동일한 인증서 사용<br>불법 장비도 인증서만 복사하면 KT망 접속</strong> </div> </div> <figure class="figure_frm origin_fig" contents-hash="bc945a4b4ee0ebf36ee660e1b4bc1b07ab31134d486df85416e19349af95cb7b" dmcf-pid="Zam2bd3GSa" dmcf-ptype="figure"> <p class="link_figure"><img alt="서창석 KT 네트워크부문장이 지난달 17일 오전 서울 종로구 KT 광화문 웨스트 사옥에서 열린 소액결제 피해 관련해 기자들에게 브리핑을 하고 있다. [매일경제DB]" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/mk/20251106150609125pyaj.jpg" data-org-width="700" dmcf-mid="63NU34YCTm" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/mk/20251106150609125pyaj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 서창석 KT 네트워크부문장이 지난달 17일 오전 서울 종로구 KT 광화문 웨스트 사옥에서 열린 소액결제 피해 관련해 기자들에게 브리핑을 하고 있다. [매일경제DB] </figcaption> </figure> <div contents-hash="6e0fc5124bf197e773627dbf03b90b814c3db41e97964fa4fc37b7ef7ae56ea9" dmcf-pid="5NsVKJ0Hvg" dmcf-ptype="general"> 불법 펨토셀로 인한 피해 현황은 368명 고객을 상대로 한 2억4319만원 무단 소액결제와 불법 펨토셀 20개에 접속한 2만2227명 고객의 개인정보 유출이다. 해당 현황은 지난해 8월부터 올해 9월까지 기지국 접속 이력을 기반으로 KT가 분석한 내용이다. </div> <p contents-hash="3c7dc14635ec344ecb266592b2b19d64456b800f92a3b4cf71ebb47fdb772213" dmcf-pid="1jOf9ipXWo" dmcf-ptype="general">조사단은 “다만 통신 기록이 없는 지난해 8월 이전 피해에 대해서는 파악이 불가능했으며, 적은 수지만 기지국 접속 이력이 남지 않은 소액 결제 피해도 일부 있었다”며 “누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 것”이라 밝혔다.</p> <p contents-hash="cb807d11dfded5cc3eb4947a4b9bdc98fbadd2fc953e1072d20580b2c50fd3ac" dmcf-pid="tAI42nUZhL" dmcf-ptype="general">무단 소액결제 사태의 원인이 된 불법 펨토셀에 대해서는 KT의 총체적인 관리 부실이 드러났다.</p> <p contents-hash="ae0d1f80ffeef7ae22ba928b073f2a273f68d9647169a3d18825c3f9794458b9" dmcf-pid="FcC8VLu5yn" dmcf-ptype="general">KT에 납품되는 모든 펨토셀은 동일한 인증서를 사용하고 있어 불법 펨토셀이어도 해당 인증서만 복사하면 KT망에 접속할 수 있는 것으로 확인됐다. 해당 인증서의 유효기간은 10년으로 설정돼 있어 한 번이라도 망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망 접속이 가능했다.</p> <p contents-hash="108ba504f49754904205614bfc080e60599e1b4169157bc2b5afdcd7b8a7e070" dmcf-pid="3kh6fo71hi" dmcf-ptype="general">인증서를 포함해 펨토셀에 탑재되는 셀ID, KT 서버 IP 등 중요 정보는 보안 관리 체계 없이 펨토셀 제작 외주사에 제공되고 있었다. 저장 장치를 통해 해당 정보를 쉽게 추출이 가능했다고 조사단은 설명했다.</p> <p contents-hash="905283aad52543efd3226ff2e4915f564e35a9c05b4c1e1ee3b678aeb6e20930" dmcf-pid="0ElP4gztyJ" dmcf-ptype="general">또한 KT는 내부망에서 펨토셀의 접속을 인증하는 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀의 제품 고유 번호 나 설치 지역 정보가 KT망에 등록된 정보인지 여부도 검증하지 않았다.</p> <p contents-hash="3e1df6471e6a6ae6653235cabbf4fca7ac710b668c69d1fbfb229ceed146bf0c" dmcf-pid="pDSQ8aqFyd" dmcf-ptype="general">무단 소액 결제가 어떻게 가능했는지에 대해서 조사단은 피의자들이 불법 펨토셀을 활용해 암호화를 해제한 것으로 파악했다.</p> <p contents-hash="d9e11b8417507b2d385dfe9788142ec1c51e39d07b6d0370c38b63f3754ea124" dmcf-pid="Uwvx6NB3Te" dmcf-ptype="general">KT는 단말과 코어망까지 통신 데이터를 암호화하는 종단 암호화를 적용하고 있는데, 피의자들은 이 종단 암호화를 해제한 뒤 ARS과 SMS을 통한 인증 정보를 평문으로 취득할 수 있는 것으로 추정된다.</p> <p contents-hash="203877fb80e3cac66f9a7daf9902628d28767dc25572ac26590bd0283b5034d4" dmcf-pid="urTMPjb0TR" dmcf-ptype="general">조사단은 불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자와 음성통화 탈취가 가능한지에 대해서도 추가 조사를 진행할 예정이다.</p> <p contents-hash="f84b1ccb151b5949c3f4f0f273c4198735a293ff23baa8d3f392640c8f1854f6" dmcf-pid="7myRQAKpSM" dmcf-ptype="general">다만 소액결제를 진행하려면 이름과 생년월일 같은 정보가 필요한데, 해당 정보를 피의자들이 어떻게 확보했는지는 아직 조사 중이다.</p> <p contents-hash="8d71c76995d5398e4cbe18aeb90b5e722be49a8c461ebdf0f51871a51dc3c9e4" dmcf-pid="z8i1XblwTx" dmcf-ptype="general">조사단은 “무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중에 있으며, 개인정보보호위원회와 협력해 무단 소액결제에 필요한 개인정보를 어떻게 확보하였는지 조사해 나갈 계획”이라고 밝혔다.</p> <p contents-hash="39cdfd850e83b1f06b23bbe0eff697e0886c63107c475b6a3ea445157408a286" dmcf-pid="q6ntZKSrCQ" dmcf-ptype="general">이어 “사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용 약관상 위약금 면제 사유에 해당하는지 여부도 발표할 예정”이라고 덧붙였다.</p> </section> </div> <p class="" data-translation="true">Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지</p> 관련자료 이전 쿠팡플레이 성공비결은 ‘오리지널·스포츠·글로벌’ 3축 전략 11-06 다음 피원하모니, 중남미 투어 성황리 마무리…현지 반응 뜨겁다 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
