"제2 SKT 유심사태 재현?…KT 해킹, 인증키 유출여부 관건" 작성일 11-09 49 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">민관합동 중간조사 "43대 서버에 SKT 때와 유사한 백도어 침투"<br>"복제폰 만드는 가입자·기기식별번호 털려…당국엔 미신고"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="bMfcWNe4HI"> <figure class="figure_frm origin_fig" contents-hash="cf035308f31e17110d3c2cf579d01fa4c88cfda0ac49ede345f5e900ea737ad2" dmcf-pid="KR4kYjd81O" dmcf-ptype="figure"> <p class="link_figure"><img alt="과학기술정보통신부 민관합동조사단이 6일 무단 소액결제와 관련한 KT 침해 사고 중간 조사 결과를 발표했다. 사진은 이날 서울 KT 사옥 모습. 2025.11.6/뉴스1 ⓒ News1 김민지 기자" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202511/09/NEWS1/20251109080116940xojj.jpg" data-org-width="1400" dmcf-mid="BClzeUXS5C" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202511/09/NEWS1/20251109080116940xojj.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 과학기술정보통신부 민관합동조사단이 6일 무단 소액결제와 관련한 KT 침해 사고 중간 조사 결과를 발표했다. 사진은 이날 서울 KT 사옥 모습. 2025.11.6/뉴스1 ⓒ News1 김민지 기자 </figcaption> </figure> <p contents-hash="9f61a1f8cbf8e5f3f3ce216a414f91d380313f5877e262dfc60fd0bfbb683837" dmcf-pid="9iQrZELxGs" dmcf-ptype="general">(서울=뉴스1) 윤주영 기자 = KT(030200) 서버 43대가 해킹된 게 최근 밝혀지면서, 최악의 경우 SK텔레콤(017670) 유심대란에 준하는 수준으로 사태가 번질 수 있다는 우려가 나온다. SKT 때처럼 'BPF도어'·'웹셸' 악성코드를 통한 침투 정황이 확인된다.</p> <p contents-hash="60a858d9844397a7a99d9bcab13dc27a1626e21be6d7f20dad6dc1b4ab90dec9" dmcf-pid="2nxm5DoMHm" dmcf-ptype="general">문제는 해킹된 서버 일부에 '단말기 식별번호(IMEI)' 등 민감정보와 이름·전화번호가 담겼다는 점이다. 가입자를 사칭하는 복제폰 제작에 쓰일 수있다. 또 다른 필수 정보인 '가입자 식별번호(IMSI)' 역시 KT가 불법 초소형기지국(펨토셀) 연결을 허용하면서 탈취됐다.</p> <p contents-hash="fc56516a8b1ef22946aeba94a14bcb5d2a2e8d70653a36248623b09d470f53d8" dmcf-pid="VLMs1wgRZr" dmcf-ptype="general">이 때문에 복제폰이 통신망에 붙도록 하는 열쇠 역할을 하는 유심 인증키 탈취 여부를 최종 확인해야 한다는 지적이 나온다.</p> <p contents-hash="f17d50c9168873e5f3a7716d5ed6666b57550876a822ae73b627090864accbb4" dmcf-pid="foROtraeYw" dmcf-ptype="general">9일 과학기술정보통신부·한국인터넷진흥원(KISA) 등으로 구성된 민관조사단 관계자는 "KT 유심 인증키 관련해서는 현재까지 유출 정황이 확인되진 않지만, 이후 조사가 필요하다"고 설명했다.</p> <p contents-hash="2e7bfbf5a96e49d1fbc9aef82019e43dafacf4c0cf702f1f5d80d466334d261b" dmcf-pid="4geIFmNd1D" dmcf-ptype="general">올해 8월부터 드러난 KT 이용자 무단 소액결제 사건 이후 정부는 KT와 합동 조사에 들어갔다. 공격자가 불법 펨토셀만으론 소액결제에 필요한 정보를 다 얻지 못하기 때문이다. 따라서 서버 침해 여부도 확인해야 했다. </p> <p contents-hash="c3b3bd28e9d92e562ed56819169a7441f2c415f785575d8d8eb8a97c11d5e14f" dmcf-pid="8adC3sjJ1E" dmcf-ptype="general">중간조사 결과에 따르면 KT 서버 43대는 최소 지난해 3월부터 BPF도어 및 웹셸에 감염됐다. 이 악성코드들은 공격자가 보안 설루션을 우회해 내부 망으로 접근할 수 있게 해 준다. 공격자는 접근 권한을 상승시켜가며 다른 서버로 이동할 수 있다.</p> <p contents-hash="ebcd8ba23b1a5080449fcdf8830e341bc4f6def70b89686d2d8cc69ec2689521" dmcf-pid="6NJh0OAiXk" dmcf-ptype="general">정황을 종합하면 공격자가 IMSI·IMEI·이름·전화번호 등은 확보했을 거란 게 중론이다. 다만 SKT 때처럼 유심 인증키(Ki, Opc)까지 유출됐는지는 아직 확인하지 못했다. </p> <p contents-hash="5ac4ad8030cbfd10b002b7da921172e49ff97c13b84fc286a4a52eab8b9b96bf" dmcf-pid="PjilpIcnZc" dmcf-ptype="general">보안업계 관계자는 "공격자가 IMEI, IMSI 정보를 갖고 복제폰을 만들어도, 유심 인증키가 없으면 이통사 망에 붙을 수 없다"며 "인증키 DB가 유출됐는지, 그리고 그것이 암호화된 상태였는지를 봐야 한다"고 설명했다.</p> <p contents-hash="09c26048db50540b0d0734532cfa2e51d487eb8594c2cedb12551291f9a073d9" dmcf-pid="QAnSUCkLXA" dmcf-ptype="general">실제로 SKT의 경우 유출된 인증 키가 암호화되지 않은 상태였기 때문에 심각성이 컸다. 복제폰을 악용한 금융범죄 우려를 불식시키고자, SKT는 비정상 인증 차단 시스템(FDS), 물리적 유심교체 등 온갖 수단을 동원했다.</p> <p contents-hash="07f67d80df44fe3d6af1f3e70061517992f4e26e4a779f228da9166033723c92" dmcf-pid="xhwt4ZSrYj" dmcf-ptype="general">이 관계자는 "추가 조사를 통해 해커가 내부 망에서 어떻게 횡이동했을지를 분석해야 한다"고 말했다.</p> <p contents-hash="0aa2618275dc03208471d99483d78f3436dd286f87b918d0393f37098c21ecac" dmcf-pid="y4Bohi6bZN" dmcf-ptype="general">한편 백도어 일종인 BPF도어는 중국·북한 해커 집단이 주로 사용하는 악성코드로 알려졌다. 수년간 잠복했다가 공격자가 보내는 특정 신호인 '매직 패킷'을 받아 발동한다. </p> <p contents-hash="644398848951d34b8dbf79067847f9581c016215e8a60e29ad3c811e88f748f8" dmcf-pid="W8bglnPK1a" dmcf-ptype="general">미국 보안기업인 트렌드마이크로는 공격 집단이 널리 쓰이는 '이반티 가상사설망(VPN)'의 취약점을 악용해 BPF도어 공격을 감행했을 수 있다고도 분석했다. SKT와 KT 모두 이반티 VPN을 쓴 것으로 알려졌다.</p> <p contents-hash="c81b6155176615ac9edc549021a160cf75a9690db1f65225c67187a71de328dd" dmcf-pid="Y6KaSLQ91g" dmcf-ptype="general">SKT 사태 이후 KT 역시 BPF도어 감염 여부를 6월 조사받았지만, 그 때는 감염이 드러나지 않았다. KT가 지난해 서버 감염을 보안 당국에 신고하지 않고 자체 처리한 탓이다.</p> <p contents-hash="37006f3af3321f975e4c3ff75a59028fe86029fa72848dbd11e7ad0a42cf56ab" dmcf-pid="GP9Nvox2Xo" dmcf-ptype="general">legomaster@news1.kr<br><br><strong><용어설명></strong><br><br>■ 펨토셀<br>가정이나 소규모 사무실을 위한 초소형·저전력의 이동통신 기지국이다. 데이터 트래픽 분산이나 음영지역 해소의 목적으로 사용된다. 서비스 가능 반경은 통상 수십미터 이내다.<br><br>■ 가상사설망(VPN)<br>Virtual Private Network. 가상사설망. 공용 네트워크에서 분리된 내부망에 접속할 수 있도록 도와주는 보안 서비스.<br><br>■ IMEI<br>단말기고유식별번호. International Mobile Equipment Identity 의 약자. 휴대전화 제조사가 기기에 부여하는 15자리 식별 코드. IMEI를 통해 분실, 도난 기기 여부 등을 조회할 수 있다.<br><br> </p> </section> </div> <p class="" data-translation="true">Copyright © 뉴스1. All rights reserved. 무단 전재 및 재배포, AI학습 이용 금지.</p> 관련자료 이전 ‘퍼펙트 글로우’ 빈티지 헐리우드 여신 탄생→38세 육아맘에 K동안 장착 11-09 다음 민주노총 반대하는 새벽배송...학회서도 우려 11-09 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
