[일문일답]"KT 미신고 악성코드 감염 서버는 펨토셀 관련 장비" 작성일 11-06 39 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">민관합동조사단, 중간 조사결과 발표</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="Bt2ksZjJtM"> <figure class="figure_frm origin_fig" contents-hash="a761e474f634a30183ad1ebc3112ee67eb94ca7a107ef498ccda0bcc30f1fd11" dmcf-pid="bRktuQZv5x" dmcf-ptype="figure"> <p class="link_figure"><img alt="최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 2025.11.6/뉴스1 ⓒ News1 임세영 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/06/NEWS1/20251106164113753wzfi.jpg" data-org-width="1400" dmcf-mid="zXuLAvJ6He" dmcf-mtype="image" height="auto" src="https://img1.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/06/NEWS1/20251106164113753wzfi.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 2025.11.6/뉴스1 ⓒ News1 임세영 기자 </figcaption> </figure> <p contents-hash="90b76b838563efe390b4e6ee4f9796aef26648e8495d1148c52f98d5664b7e99" dmcf-pid="KeEF7x5T1Q" dmcf-ptype="general">(서울=뉴스1) 나연준 김민수 기자 = KT(030200)가 무단 소액결제 사태 발생의 원인으로 지목되는 펨토셀 관련 서버가 침해당한 사실을 파악하고도 제대로 대처하지 않은 것으로 드러났다.</p> <p contents-hash="776aeea090aab5cf37b1f3f6ec8e9310e9220ba133735302f45a15f22abbbbb5" dmcf-pid="9dD3zM1y5P" dmcf-ptype="general">KT 침해사고 민관합동조사단은 6일 오후 KT가 2024년 3월~7월 기간 BPFDoor, 웹셸 등 악성코드 감염서버(43대)를 발견했지만 정부에 신고하지 않고 자체적으로 조치한 것으로 파악했다고 밝혔다.</p> <p contents-hash="3ace14f8c7398283fccad44fe0ce9421247ab151bb51964a40b3378954cab9fa" dmcf-pid="2Jw0qRtWX6" dmcf-ptype="general">최우혁 과기정통부 네트워크 정책실장은 악성코드가 어떤 서버에 있었는지를 묻는 질문에 "펨토셀 관련 서버였다"며 "(KT가) BPFDoor 백신을 돌린 흔적을 찾았다"고 말했다.</p> <p contents-hash="c43c73aacb6e395c232320585e29b4c324ab554ca8748103cffc72fecdd406e5" dmcf-pid="VirpBeFYX8" dmcf-ptype="general">조사단의 발표에 따르면 KT 역시 펨토셀 관련 서버에 악성코드가 심어지는 등 침해 사실을 인지했을 것으로 보인다. 하지만 펨토셀 관리 체계는 여전히 허술하게 운영됐다.</p> <p contents-hash="0d15d31ceae7fc9d59ebb48329b2ae4925d5aa7cf82c9df6242892e3e53f31e8" dmcf-pid="fnmUbd3Gt4" dmcf-ptype="general">조사단에 따르면 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고, 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또한 펨토셀 접속 인증 과정에서 비정상 IP 차단 및 검증 절차도 부실했던 것으로 나타났다.</p> <p contents-hash="e97ae2f990f52c9f3d95d9a1cc19b5cab9d2ec20b209da8d6b16fb6186752140" dmcf-pid="4LsuKJ0HXf" dmcf-ptype="general">다음은 조사단 관계자와의 일문일답.</p> <p contents-hash="d2dc2e4c17de383d9a99090f5a2ba9b0675e973de441605494a50b929be515ff" dmcf-pid="8oO79ipX5V" dmcf-ptype="general">-KT가 자체 처리했다고 한 악성코드가 어떤 서버에 있었나? ▶펨토셀 관련 서버였다. 조사단이 BPFDoor 백신을 돌린 흔적을 찾은 것이다.</p> <p contents-hash="95b60730df33ddee0f37757f5cb1b610481faf0e7d4688c0264b2c5d9f768e13" dmcf-pid="6gIz2nUZG2" dmcf-ptype="general">-SK텔레콤 침해사고 당시 정부가 BPFDoor 등 관련해 KT에도 자체 전수 조사를 지시했었는데 이번에 또 발견됐다. 기업의 자체 조사 실효성 보완 방안이 있나? ▶포렌식을 하면서 BPFDoor를 발견한 것이 아니고 BPFDoor를 검출하는 백신을 돌린 흔적을 저희가 발견했다. 5월에 조사할 때는 이미 BPFDoor는 다 지워진 상태였다. 당시 조사와 연계성은 없다.</p> <p contents-hash="c65f5c60fd10a20eee276bdca4d7ca8fef09b1154153ca9add672d25e2b18f09" dmcf-pid="PaCqVLu519" dmcf-ptype="general">-악성코드에 감염된 43대 서버를 통해 무단 결제에 필요한 정보가 유출됐을 수 있나? ▶정밀하게 조사하고 확인이 필요한 지점이다. 현재로서 단정적으로 말씀드리기는 어렵다.</p> <p contents-hash="c525fb1d3da68847b28888a8f4d226ca627c91d86f0cfc5e07bc173d6afdea36" dmcf-pid="QzxITUmjHK" dmcf-ptype="general">-SK텔레콤과 마찬가지로 BPFDoor 해킹이다. 핵심 서버가 뚫렸다거나, SK텔레콤처럼 가입자 전원 규모 정도의 정보 유출이 의심될 가능성도 있나? ▶조사단이 가능성을 가지고 이야기하면 상당한 혼란을 일으킨다. 이해해 주시면 좋겠다.</p> <p contents-hash="1a2d76315889ab3ee213a0292c26868d10f937d540b9c333b3fc5d6905654d56" dmcf-pid="xqMCyusAYb" dmcf-ptype="general">-현재까지 조사 과정에서 유심(USIM) 인증키 해킹은 없었나? ▶현재까지 조사된 사항에서 유심 복제에 필요한 인증키가 유출된 정황은 아직까지 발견되지 않았다. </p> <p contents-hash="aa971fd7e80fa58f4c0d105e68a4729b919bc885c5b6c77d01faca8e4ae3f45d" dmcf-pid="yDWfxc9UZB" dmcf-ptype="general">-추가 피해자 앞으로 얼마나 더 나올 수 있는지 궁금하다. ▶KT가 2024년 8월 1일 이후 전체 기지국, 전체 결제 부분을 분석한 과정을 조사단이 검증했다. 다만 제대로 돌렸는지 다시 한번 돌려보면서 놓친 부분이 있는지 체크해서 찾아보겠다. 방대한 양이어서 시간이 조금 걸릴 것 같다.</p> <p contents-hash="7c10e6ebda578f1af5f8cee1fbbf1d0a188f86d6b2f68d76cf8be8ab6db507a2" dmcf-pid="WwY4Mk2uZq" dmcf-ptype="general">-기지국 접속 이력이 없는데도 소액결제 피해가 확인됐다고 했다. 어떻게 가능했던 것인가? ▶기지국에 접속 기록이 없을 뿐이지 실제는 기지국에 붙었기 때문에 결제가 일어난 것이다. 접속 기록이 없더라도 결제 패턴, 불법 기지국의 위치 등을 고려해 최대한 식별을 해낸 것이다.</p> <p contents-hash="2fdc43fdb9fffa69d7297fa3cc6ee40dfe79e7234b538c0af2c5b232882099ab" dmcf-pid="YrG8REV7Zz" dmcf-ptype="general">-종단 암호화 해제는 어떻게 가능했던 것인가. ▶이례적인 케이스다. 불법 펨토셀이 중간에서 스마트폰과 KT 코어망의 연결 중간에서 역할을 했기 때문이다. 종단 간 암호 설정하는 여러 과정 중에 불법 펨토셀이 개입해서 해제할 수 있는 상황을 만들 수 있는지 전문가 의견, 여러 테스트를 통해 확인했다.</p> <p contents-hash="70b7820f8da37ef269ff16b5418b68e582eba16038f77ce33762b79304958685" dmcf-pid="GmH6eDfzH7" dmcf-ptype="general">-소액결제 범죄 원인을 펨토셀 해킹으로 보고 있는 것인가. ▶지금은 펨토셀을 메인으로 보고 있다. 모든 가능성은 열어놓고 있다.</p> <p contents-hash="b3f989383c54738b21e412d32a5ec39dc5f1cf76b866ea1bdcb677995568acb3" dmcf-pid="HsXPdw4qHu" dmcf-ptype="general">-지금 시점에서 전체 이용자 대상 위약금 면제 가능성은 어떻게 보고 있나? ▶어느 정도 피해까지 특정하고 난 뒤에 판단할 수 있을 것 같다.</p> <p contents-hash="f256e6a7c8ef97ab859c3f3a8eda52bc6c836ded81d246ba3d73eba774fda4d7" dmcf-pid="XOZQJr8BXU" dmcf-ptype="general">-KT 유심 교체 관련해서 (정부의) 권고가 있었는지 알고 싶다. ▶유심 교체는 각 사가 판단하는 영역이다. 정부의 권고가 있었던 부분은 없다.</p> <p contents-hash="b1766328124b923b81f3107223ef1ea2bbb5156a896f637c245c65719e500165" dmcf-pid="ZI5xim6bYp" dmcf-ptype="general">-KT의 회피 정황이 드러나고 있는데 행정지도를 내릴 가능성은 없나? ▶국민들, 가입자들에게 피해가 가는 상황이 벌어지면 당연히 정부로서 엄중하게 조치에 들어갈 것이다.</p> <p contents-hash="3f81f6a42e1fe463d931bcf9d4eb117cff85146fc9b2f50a4b77da718a5f1d63" dmcf-pid="5C1MnsPK10" dmcf-ptype="general">yjra@news1.kr </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 글로벌 시장 향하는 ‘국산 뇌수술 로봇’…고영, 미국 이어 중국·일본 간다 11-06 다음 과기정통부 “KT 서버 43대서 악성코드 지운 흔적 발견… 고객정보 유출 확인 필요” 11-06 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
