닫기

close
아시아투데이

오피니언

사설

칼럼·기고

기자의 눈

피플

정치

정치일반

대통령실

국회·정당

북한

외교

국방

정부

사회

사회일반

사건·사고

법원·검찰

교육·행정

노동·복지·환경

보건·의약

경제

경제일반

정책

금융·증권

산업

IT·과학

부동산

유통

중기·벤처

아투시티

종합

메트로

경기·인천

세종·충청

영남

호남

강원

제주

국제

세계일반

아시아·호주

북미

중남미

유럽

중동·아프리카

문화·스포츠

전체

방송

가요

영화

문화

종교

스포츠

여행

최신

지면보기

구독신청

First Edition

후원하기

제보24시
뉴스스탠드 네이버블로그 아투TV(유튜브) 페이스북 인스타그램
IT·과학

민관조사단 “KT, ‘성명·전화번호’ 저장서버 악성코드 감염에 자체 조치”

기사듣기 기사듣기중지

공유하기

닫기

  • 카카오톡

  • 페이스북

  • 트위터 엑스

URL 복사

https://ww4.asiatoday.co.kr/kn/view.php?key=20251106010003266

글자크기

닫기

서병주 기자

승인 : 2025. 11. 06. 14:00

KT 침해사고 민관합동조사단 중간 조사 결과 발표
"지난해 3~7월 BPFDoor 감염 서버 발견에도 신고 안해"
납품 펨토셀 같은 인증서 사용…비정상 IP 차단 없어
2025100401000255400013991
한 시민이 서울 KT 판매점 앞을 지나고 있다. /연합
KT가 지난해 개인정보가 저장된 서버 등 악성코드에 감염된 서버를 발견했지만, 이를 정부에 신고하지 않았다. 또 부실한 관리 체계로 불법 초소형 기지국(펨토셀)을 통한 ARS 등 인증정보 취득이 가능했던 것으로 조사 결과 확인됐다.

KT 침해사고 민관합동조사단은 사고 중간 조사결과를 6일 발표했다. 과학기술정보통신부는 지난 9월 8일 KT가 신고한 불법 기기 내부망 접속 사고에 국민 금전 피해 발생 등 중대성과 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 같은 달 9일부터 조사단을 구성·운영하고 있다.

조사단은 △불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 △국가배후 조직에 의한 KT 인증서 유출 정황 △KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고원인을 분석했다.

앞서 KT는 지난해 8월부터 지난 9월 10일까지 약 4조300억건의 모든 기지국 접속 이력과 전 가입자 결제 약 1억5000만건 등 확보 가능한 모든 데이터를 분석하고 지난달 17일 368명, 2억4319만원의 소액결제 피해를 발표한 바 있다. 다만 그 이전 피해에 대해서는 파악이 불가했으며, 기지국 접속 이력이 남지 않은 소액결제 피해가 일부 있었던 것으로 확인됐다.

◇全 팸토셀이 같은 인증서 사용…"불법 팸토셀로 암호 해제 가능"
조사단은 KT의 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용, 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했으며 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 것으로 확인됐다.

아울러 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다고 조사단 측은 전했다.

조사단은 전문가 의견 청취와 KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었으며 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 조사단은 불법 펨토셀을 통해 결제 인증정보 외에도 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.

조사단은 KT가 이미 침해 정황을 파악했음에도 곧바로 신고하지 않은 점도 확인했다. 조사단에 따르면 KT는 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 같은 달 5일 차단 조치했다. 하지만 불법 펨토셀 ID의 존재를 확인한 후인 8일에야 침해사고를 신고했다. 이는 정보통신망법 상 3000만원 이하 과태료 부과 대상에 속한다.

◇43대 서버 감염 알았지만 신고 無…정부, 조사 방해로 수사 의뢰
서버 포렌식 분석 등을 통해서는 BPFDoor 등 악성코드 침해사고가 발생했지만 KT가 이를 신고하지 않고 자체 처리한 사실이 확인됐다. KT는 지난해 3∼7월의 기간 동안 BPFDoor, 웹셸 등 악성코드 감염서버(43대)를 발견했지만 정부에 신고 없이 자체적으로 조치한 점과 일부 감염서버에서 성명, 전화번호, 단말기 식별번호(IMEI) 등의 정보가 저장됐음을 조사단에 보고했다.

지난 8월 프랙보고서에서 언급된 국가배후 조직에 의한 인증서 유출 정황과 관련해서는 조치가 미흡했던 것으로 확인됐다. 앞서 KT는 8월 1일에 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했지만, 실제로는 8월 1일에 이어 6, 13일에 걸쳐 폐기했다.또한 KT는 폐기 서버 백업 로그가 있었지만 9월 18일까지 조사단에 이를 보고하지 않았다. 이에 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단, 형법 제137조(위계에 의한 공무집행방해)에 따라 지난달 2일 수사기관에 수사 의뢰했다.

과기부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하는 동시에 KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.
서병주 기자

ⓒ 아시아투데이, 무단전재 및 재배포 금지

기사제보 후원하기