“정부 포렌식 조사서 KT 서버감염 확인…은폐 행위 수사 의뢰”[일문일답] 작성일 11-06 60 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">정부 포렌식 조사서 KT 서버 감염 사실 확인<br>정보통신망법 과태료 외 형법상 처벌도 가능<br>방대한 양 조사에 시간 걸려…조만간 최종 발표</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="0uf7QAKpEq"> <p contents-hash="140e2f96b01a7f71d8d8fd7a803734340799762ac9884b4551065c4da9ed02e6" dmcf-pid="p74zxc9Uwz" dmcf-ptype="general"> [이데일리 권하영 기자] KT(030200)가 지난해 악성코드 감염 사실을 숨기고 서버 폐기를 허위로 신고하는 등 조사 방해 행위를 한 것이 정부 조사에서 드러났다. 기지국 장비(펨토셀) 관리 부실로 대규모 정보 유출과 무단 소액결제 피해를 초래한 책임도 피할 수 없게 됐다.</p> <figure class="figure_frm origin_fig" contents-hash="6442f808559e7d53d08130a66ae3f66d67735aec24d8a4f8c148584b9def2494" dmcf-pid="U74zxc9UE7" dmcf-ptype="figure"> <p class="link_figure"><img alt="최우혁 과학기술정보통신부 네트워크정책실장이 6일 오후 서울 종로구 정부서울청사에서 KT 침해사고 중간결과 발표를 위해 브리핑실로 들어서고 있다. (사진=뉴시스)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/Edaily/20251106155653568cejo.jpg" data-org-width="670" dmcf-mid="3rK04gztEB" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/Edaily/20251106155653568cejo.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 최우혁 과학기술정보통신부 네트워크정책실장이 6일 오후 서울 종로구 정부서울청사에서 KT 침해사고 중간결과 발표를 위해 브리핑실로 들어서고 있다. (사진=뉴시스) </figcaption> </figure> <div contents-hash="ad4294027487549f4c83d7ca952f05691fd0f528502ee917e88dc145c430a8b9" dmcf-pid="uz8qMk2uEu" dmcf-ptype="general"> 과학기술정보통신부 민관합동조사단은 6일 “KT가 2024년 3~7월 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않았다”고 밝혔다. 일부 서버에는 성명, 전화번호, 이메일 등 고객정보가 저장돼 있었다. </div> <p contents-hash="d653276f6abb1cc2a0b8bbafb97d06a134d40c56a479bd4913dca2515bebf204" dmcf-pid="7q6BREV7sU" dmcf-ptype="general">조사단은 KT가 납품 펨토셀에 동일 인증서를 적용하고 유효기간을 10년으로 설정하는 등 관리가 부실해 불법 펨토셀이 내부망에 쉽게 접속할 수 있었다고 지적했다. 단말과 코어망 간 암호화가 해제돼 인증정보(ARS·SMS)가 평문으로 탈취된 정황도 확인됐다. KT는 사고를 인지하고도 신고를 지연했고, 인증서 유출 서버의 폐기 시점을 허위 보고한 사실이 드러나 형법상 ‘공무집행방해’ 혐의로 수사기관에 의뢰됐다. </p> <p contents-hash="9b8bc2c9bf677eac37499d8b89638ad8d8f48f92239764ad99eaa80d07b5f86e" dmcf-pid="zBPbeDfzmp" dmcf-ptype="general">과기정통부는 KT의 관리 부실과 조사 방해 여부를 종합 검토해 법적 조치를 검토할 계획이다.</p> <p contents-hash="bebb0f4fb9e955002d384521856ebce1b8a221d96402f2c4f752990083ccf1c5" dmcf-pid="qbQKdw4qI0" dmcf-ptype="general">다음은 과학기술정보통신부의 최우혁 네트워크정책실장, 한국인터넷진흥원(KISA)의 이동근 본부장(민간합동조사단 부단장)과의 일문일답.</p> <p contents-hash="2390531822e0582067e73ec4c98cccc2f590667c712a02802d512ba067a4a581" dmcf-pid="BKx9Jr8Br3" dmcf-ptype="general">-KT 서버를 감염시킨 악성코드 종류와 수, 1년 반 전 발견하고도 은폐한 행위에 대한 정부 입장이 궁금하다. 또, SKT 해킹 사고 당시 5월경 통신3사 BPF도어 전수조사를 했었는데 당시에는 KT의 감염 사실이 밝혀지지 않았다.</p> <p contents-hash="213e3f664b03e16e5b5b45d51461d5067d4c53fa4dc56af48c627d602f81b7de" dmcf-pid="b9M2im6bDF" dmcf-ptype="general">△(최우혁 실장) KT가 밝힌 것이 아닌, 정부 포렌식 조사 과정에서 발견한 내용이다. BPF도어 자체를 발견한 것은 아니고, BPF도어를 검출하는 스크립트, 즉 백신을 돌린 흔적을 발견했다. BPF도어 자체는 지워지고 없었으므로 5월 전수조사에서 발견되지 않은 것이다. 구체적인 악성코드 종류와 수 등은 조사를 진행하며 공개할 수 있는 부분을 공개하겠다. </p> <p contents-hash="3dde24e17c6cb4dd2f1a32d6b1d2075b3accb2acd4c412afb20cbc9d2d3c39ae" dmcf-pid="K2RVnsPKwt" dmcf-ptype="general">-KT의 은폐 행위에 대해 가능한 징계 조치는.</p> <p contents-hash="fcba4089acbec939822c5aabc06e791edf66644dc45594ae81fad6217b3299f0" dmcf-pid="9VefLOQ9r1" dmcf-ptype="general">△(최우혁 실장) 조사 통해 판단할 수 있다. 프랙 보고서상 유출 정황이 있는 서버를 폐기한 것에 대해선 10월 2일 수사를 의뢰했다. 정보통신망법으로는 미신고 시 처벌이 과태료밖에 없지만, 수사 의뢰로 형법상 문제제기를 했으므로 그에 따른 처벌이 있을 수 있다.</p> <p contents-hash="b169a544ddae838f9bd85019c09dbd0f7fcf5ba0ac854d6cddc7fa855e5ebb7c" dmcf-pid="274zxc9UD5" dmcf-ptype="general">-감염된 일부 서버에 가입자 성명·전화번호·이메일주소 등이 저장됐다면, 그를 통해 무단결제에 필요한 정보가 유출된 가능성도 있는지.</p> <p contents-hash="a0ef6c919d459b96b1b7cf4b36b5a7cb3104c85a2287b238be13b499e20e3da8" dmcf-pid="Vz8qMk2uEZ" dmcf-ptype="general">△(최우혁 실장) 소액결제에 필요한 개인정보와 연계 여부는 개인정보보호위원회 소관이기도 해 정밀한 조사와 확인이 필요하다. 43대 서버 감염 사실을 확인한 지 얼마 안 돼 분석이 더 필요하다.</p> <p contents-hash="4c53a193b17b840ff576b7d7f7e827f2ff9e0b87d56bd3019cf894da0717ac85" dmcf-pid="fq6BREV7sX" dmcf-ptype="general">-같은 프랙 보고서에서 지적된 LG유플러스의 경우 APPM 해킹은 맞지만 침해는 아니라고 주장하는데. 실제 해킹 파일들이 확인되고 있으며, 암호화를 풀 수 있는 패스워드 파일 유출 가능성도 있다.</p> <p contents-hash="e71fb1c227232becfe5eb961df8a990ded0e9afd6cb6e440d642d01d097aa22c" dmcf-pid="4BPbeDfzIH" dmcf-ptype="general">△(최우혁 실장) LG유플러스 APPM 해킹 건도 조사단이 구성돼 정밀하게 보고 있다. 진전이 있으면 동일한 방식으로 발표할 테니 기다려달라. 참고로 SKT 유출 사고 때는 암호화가 안 돼 있어 이후 암호화 조치를 했고, 당시 KT와 LG유플러스는 암호화된 상태로 확인했다.</p> <p contents-hash="90d4b9517409d642c17fb1a2f441ac6f7155c8fc78105b0e27dc4354ec69dbcf" dmcf-pid="8bQKdw4qrG" dmcf-ptype="general">-유심 인증키 유출 가능성은 없나.</p> <p contents-hash="e052cc30b727dfd5665c33703e594b56beba47172bb48f373e446d83e242cd44" dmcf-pid="6Kx9Jr8BDY" dmcf-ptype="general">△(이동근 KISA 본부장) 현재까지 조사된 상황에서는 유심 복제에 필요한 인증키가 유출된 정황은 발견되지 않았다. 하지만 이번에 추가 사고들이 발견된 만큼 관련성이 있는지 면밀히 살피겠다.</p> <p contents-hash="2e2c270683685ec676a741c4d420ea2b6ac6cbbff8b8bd0a7ebb6d3910e0f0e7" dmcf-pid="P9M2im6bOW" dmcf-ptype="general">-수사기관에서 입수한 불법 펨토셀 관련 조사 진행 상황이 궁금하다. 조사가 오래 걸리는 이유는. 또 추가 피해 발생 가능성은.</p> <p contents-hash="7a575306b6a9d3e4ccb449cde23e7e08a121d2dbae543bbf877d589219afc56f" dmcf-pid="Q2RVnsPKEy" dmcf-ptype="general">△(최우혁 실장) 조사 분석 과정에서 경찰 동의와 절차가 필요해 시간이 많이 걸린다. 내용물을 눈으로 확인하고, 포렌식하는 과정들이 있다. 추가 피해 여부 관련해선 현재 KT가 2024년 8월 이후 전체 기지국 및 결제 정보를 분석한 과정에 있어, 그 방식이 적절했는지 검증했다. 다만 그 방식대로 제대로 조사했는지 여부는 다시 확인하려 한다. 워낙 방대한 양이라 시간이 걸릴 수 있다.</p> <p contents-hash="3a83ee9f5db1b27f959ada6add9ee93aef7be29ef6868492d596d2105e31d5b2" dmcf-pid="xVefLOQ9IT" dmcf-ptype="general">-기지국 접속 이력이 없는 소액 피해자도 일부 있다고. 접속 없이 어떻게 가능했나.</p> <p contents-hash="32ceaca02c4965dd18bbdf04521c0dab7c9264ad846d05a7a04a385cd0d41285" dmcf-pid="yIGC12TsOv" dmcf-ptype="general">△(이동근 KISA 본부장) 기지국 접속 기록이 없을 뿐, 실제 기지국에 붙었으므로 결제된 건 맞다. 접속 기록이 남지 않은 이유는 기술적 한계 때문이다. 저장하고 보관하는 과정에서 로스(손실)가 발생했다. 그런 상황을 고려해 최대한의 피해 범위 산정을 KT 측에 요청했다. 정확한 피해 숫자는 아직 검증되지 않아 공개하기 어렵다. 기술적인 로스는 통신3사 모두 어느 정도 발생하는 부분이다.</p> <p contents-hash="d5c221e65ec45018beeb8ab282f15def8cd3b5b443e43225072debe6c19c4156" dmcf-pid="WCHhtVyOsS" dmcf-ptype="general">-불법 펨토셀로 종단간 암호화 해제가 어떻게 이뤄졌는지 궁금하다. 또 최종 조사 결과 발표 시점은.</p> <p contents-hash="91c211415c7c028e61d8d8140d8f7bd112c50bd0709869a6a30bf6f23302389e" dmcf-pid="Y3K04gztOl" dmcf-ptype="general">△(최우혁 실장) 최종 조사 결과는 지금 예단하기 어렵다. 펨토셀 장비를 이용한 사이버 공격이 예외적인 상황이라 분석에 시간이 많이 걸렸다. 또 이번에 BPF도어 감염 서버도 43대 발견됐으므로 전체 포렌식에 상당한 시간이 걸려 시간을 특정할 수 없다. 모든 리소스를 투입해 최대한 빨리 분석하겠다.</p> <p contents-hash="80ea474938251b4c92526581785fb5f298c8e749099174131e87156310daf8b3" dmcf-pid="G09p8aqFEh" dmcf-ptype="general">△(이동근 KISA 본부장) 종단간 암호화 해제는 세부적인 기술을 말씀드리긴 어려우나 불법 펨토셀이 단말기와 코어망 사이에서 종단간 암호화 설정의 여러 과정 중 개입해 암호화를 해제할 수 있다는 것을 전문가 및 테스트를 통해 확인했다. 다만 아직은 ‘판단’ ‘시나리오’라고 표현한 이유가 아직 불법 장비를 검증하는 과정 중에 있기 때문이다.</p> <p contents-hash="4cb65bd6d929c5d016040e7d13e97ad87a4cdc53f3fe7142b41d2ad2465efc19" dmcf-pid="Hp2U6NB3DC" dmcf-ptype="general">-KT 사태의 경우 고의 회피 정황이 분명히 드러나고 있는데. SKT 사태 때처럼 신규 영업정지 등의 행정지도를 내릴 가능성은. </p> <p contents-hash="fe6bf2295c06a75575db8b6c565516664c0ad2eaa361315d7191cf1ea8efa737" dmcf-pid="XUVuPjb0OI" dmcf-ptype="general">△(최우혁 실장) SKT에 신규 영업 정지를 했던 배경은 고객들의 유심 교체를 위한 유심이 부족한 상태에서 신규 영업을 돌리는 부도덕한 행위를 막기 위해 행정 지도한 것이다. 만약 KT도 그런 사태가 벌어진다면 동일한 조치가 들어가야 할 것이다.</p> <p contents-hash="0fdd09ef5170fec60486e41e0c00290a675d5cb056e6ef1a34c7650e7b2af53e" dmcf-pid="Zuf7QAKpwO" dmcf-ptype="general">권하영 (kwonhy@edaily.co.kr) </p> </section> </div> <p class="" data-translation="true">Copyright © 이데일리. 무단전재 및 재배포 금지.</p> 관련자료 이전 네이버지도 '올인원' 플랫폼으로…XR로 몰입형 길찾기 선보인다 11-06 다음 문체부, 2026 밀라노 동계올림픽·패럴림픽 관계기관 합동 준비단 출범 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
