"KT, 악성코드 감염 서버 43대 알고도 미신고…엄중히 조치"(종합)

작성일 11-06

<div id="layerTranslateNotice" style="display:none;"></div> KT 침해사고 민관합동조사단 중간 조사 결과 감염 서버 신고 않고 뭉개…포렌식으로 파악 펨토셀 인증 허점…소액결제 피해 확대 우려 "KT, 유심 교체 수급 대란 시 영업정지 검토" 
 <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
 <section dmcf-sid="Px5bPjb0ax">
 KT가 과거 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않았던 것으로 파악됐다.
 <figure class="figure_frm origin_fig" contents-hash="337f6ef7f24614382fb6a613292af563276332618c66275bfa22d83f9173ce01" dmcf-pid="xVyp9ipXNP" dmcf-ptype="figure">
 <img alt="한 시민이 서울 kt 판매점 앞을 지나고 있다. 연합뉴스" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/akn/20251106161314248xizu.jpg" data-org-width="745" dmcf-mid="8bpG08GhjR" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/akn/20251106161314248xizu.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 한 시민이 서울 kt 판매점 앞을 지나고 있다. 연합뉴스
 </figcaption>
 </figure>
 과학기술정보통신부가 꾸린 KT 침해사고 민관합동조사단은 6일 이 같은 내용의 중간 조사 결과를 발표했다.
 앞서 KT는 지난 9월 소액결제 피해자의 통화 이력을 분석한 결과 자사에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 침해 사고를 신고했다.
 조사단은 지난 9월 9일부터 ▲불법 펨토셀에 의한 소액결제와 개인정보 유출 사고 ▲국가 배후 조직에 의한 KT 인증서 유출 정황(프랙보고서) ▲KT가 외부 업체를 통한 보안 점검 과정에서 발견한 서버 침해사고 등 3건을 조사해 사고 원인을 분석했다.
 그 결과 KT가 악성코드 침해 사고를 감추려 한 정황이 드러났다. KT는 지난해 3~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견했으나 정부에 신고하지 않고 자체 처리했다. 이는 정보통신망법상 3000만원 이하 과태료 부과 대상이다. KT는 뒤늦게 일부 감염 서버에서 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 정보가 저장됐다고 조사단에 보고했다.
 조사단은 서버 포렌식 분석을 통해 관련 백신을 돌린 흔적이 드러나 해킹을 파악했다고 설명했다. 다만, SK텔레콤 해킹 사건 때처럼 가입자 핵심 정보가 저장된 HSS 서버가 털렸는지, 개인정보 유출 규모와 공격자가 SKT 때와 동일한지 등은 아직 파악되지 않았다고 했다.
 최우혁 조사단장은 "BPF도어가 모두 지워진 상태여서 SKT 해킹 이후 실시한 당국의 전수 조사에서는 나타나지 않았다"며 "서버 피해 43대는 KT가 자체적으로 밝힌 규모로 포렌식을 통해 해킹 범위, 규모 등을 추가로 조사해야 한다"고 말했다.
 이어 "아직 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다"며 "이번에 추가 발견된 사고 건들과 관련성이 있는지 연말까지 면밀히 살펴볼 것"이라고 부연했다.
 아울러 KT의 은폐 정황에 대해 "엄중히 보고 있다"며 "사실관계를 밝혀 관계기관에 합당한 조치를 요청할 계획"이라고 했다.
 <figure class="figure_frm origin_fig" contents-hash="c21f8fa9d8aa46119ce2c26b0b38819f457e12be953c6b24990a151bb059d8ce" dmcf-pid="1WLmTUmjab" dmcf-ptype="figure">
 <img alt="최우혁 과학기술정보통신부 네트워크정책실장이 6일 정부서울청사에서 KT 침해사고 중간 조사 결과를 발표하고 있다. 노경조 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/akn/20251106161315520tlsb.jpg" data-org-width="745" dmcf-mid="6mMAO5AigM" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/akn/20251106161315520tlsb.jpg" width="658">
 <figcaption class="txt_caption default_figure">
 최우혁 과학기술정보통신부 네트워크정책실장이 6일 정부서울청사에서 KT 침해사고 중간 조사 결과를 발표하고 있다. 노경조 기자
 </figcaption>
 </figure>
 조사단은 KT가 미국 보안 전문매체 프랙이 서버 해킹 가능성을 경고한 뒤 서버를 폐기한 사실과 관련해 형법상 '위계에 의한 공무집행 방해' 혐의로 경찰 수사를 의뢰했다고 전했다.
 KT는 지난 8월 KISA에 관련 서버를 폐기했다고 답했는데, 조사에서 KT가 같은 달 1일(2대), 6일(4대), 13일(2대) 등 여러 날에 걸쳐 폐기한 것이 확인됐다. 폐기 서버 백업 로그는 다음 달 18일까지 보고하지 않았다.
 침해 사고 지연 신고도 포착됐다. KT는 지난 9월 1일 경찰로부터 무단 소액 결제 발생을 전달받고 이상 통신 패턴을 차단하고도, 신고는 불법 펨토셀 ID를 확인한 8일에 했다. 정보통신망법상 3000만원 이하 과태료 부과 대상이다.
 조사단은 KT의 팸토셀 관리 체계가 전반적으로 부실했다고 짚었다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서만 복사하면 불법 펨토셀도 KT 망에 접속 가능한 구조였다. 인증서 유효기간이 10년으로 설정돼 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속해서 망에 접속할 수 있는 문제가 있었다.
 또 펨토셀 제조사가 셀 ID와 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, KT 망에 펨토셀이 접속 인증을 할 때 다른 회사나 해외 IP 등 비정상 IP를 차단하지 않았다고 파악했다.
 소액결제 피해 규모는 확대될 전망이다. 조사단은 현재까지 파악된 총 368명, 2억4319만원 규모의 피해 외에 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.
 과기정통부는 KT 유심 교체 과정에서 SKT 때와 마찬가지로 수급 대란 등이 벌어질 경우 영업 중단 조치를 검토하기로 했다. 소액결제 피해가 직접적으로 발생한 지역 가입자에게는 교체 사실을 충분히 인지할 수 있도록 행정지도한다.
 노경조 기자 felizkj@asiae.co.kr
 </section> 
 </div> 
 Copyright © 아시아경제. 무단전재 및 재배포 금지.

이전

블랙핑크, 2026년 1월 컴백하나…YG "앨범 준비 막바지 단계"

11-06
다음

OTT 혁신 전략 찾는다···‘2025 국제 OTT 포럼’ 개최

11-06

등록된 댓글이 없습니다.

로그인한 회원만 댓글 등록이 가능합니다.

먹튀폴리스

"KT, 악성코드 감염 서버 43대 알고도 미신고…엄중히 조치"(종합)

멤버랭킹

관련자료

멤버랭킹