민관합동조사단 KT 침해사고 중간 조사결과 발표
단말-코어망 간 암호화 해제돼...불법 펨토셀이 평문의 인증정보(ARS, SMS) 탈취
24.3∼7월 기간 BPFDoor 등 악성코드 감염서버(43대)를 발견했으나 신고 안해
무단 소액결제·보안점검 과정에서 발견한 침해사고에 대해 지연신고
[아이뉴스24 서효빈 기자] KT 무단 소액결제 사태에서 해커가 불법 펨토셀을 활용해 통화·문자 기반 인증정보를 탈취했을 가능성이 드러났다. 모든 펨토셀이 동일한 인증서를 사용하고 외부 IP 접속 차단 등 KT가 기본적인 보안 조치를 취하지 않은 것이다.
![과기정통부 로고 [사진=과기정통부]](https://image.inews24.com/v1/34a12952301290.jpg)
과기정통부 로고 [사진=과기정통부]과학기술정보통신부와 한국인터넷진흥원(KISA) 등이 참여한 민관합동조사단은 6일 KT 침해사고에 대한 중간조사 결과를 이같이 발표했다. 조사단은 불법 펨토셀을 통한 소액결제 피해와 개인정보 유출, 보안 관리 부실, 사고 신고 지연 등 복합적인 문제점을 확인했다.
조사단에 따르면 KT는 지난 9월 8일 소액결제 피해자의 통화 이력을 분석하던 중 KT에 등록되지 않은 불법 펨토셀이 내부망에 접속한 사실을 확인하고, 이를 KISA에 신고했다. 사고의 중대성과 고도화된 공격 정황에 따라 과기정통부는 9월 9일부터 조사단을 구성해 운영해왔다.
조사 대상은 △불법 펨토셀을 통한 피해 △국가배후 조직의 인증서 유출 정황(프랙 보고서) △KT가 자체 점검 중 확인한 서버 침해 등 3건이다.
조사단은 우선 불법 펨토셀에 접속한 기기 20개를 통해 총 2만2227명의 가입자 정보(IMSI, IMEI, 전화번호)가 유출됐고, 이 중 368명이 2억4천319만원의 소액결제 피해를 입은 것으로 파악했다. KT는 약 4조300억건의 기지국 접속 이력과 약 1억5천만건의 결제 데이터를 분석해 이 같은 결과를 도출했다. 다만 통신기록이 없는 지난 8월 1일 이전 피해는 파악이 불가능해 최종 피해 규모는 추가 검증을 거쳐 발표될 예정이다.
펨토셀, 종단 암호화 해제 시 인증정보 평문 노출 가능
조사단은 KT의 펨토셀 인증 관리체계가 부실하다고 지적했다. KT에 납품된 펨토셀이 동일한 인증서를 사용했고, 인증 유효기간이 10년으로 설정돼 불법 장비도 네트워크 접속이 가능했던 점이 드러났다. 제조사와 외주사가 인증서와 서버 IP 등을 보안 없이 공유한 사실도 확인됐다. 또한 KT는 비정상 IP 접속 차단, 장비 형상정보 검증 등 필수 보안 조치를 이행하지 않은 것으로 나타났다.
이에 따라 △펨토셀 인증서 유효기간 단축(10년→1개월) △KT 유선 IP 외 접속 차단 △형상정보 인증 절차 도입 △제품별 개별 인증서 발급 등의 조치를 KT에 요구하고 통신 3사에 신규 펨토셀 접속 제한을 권고한 상태다.
조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 또한 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
감염 43대 은폐, 서버 폐기..."수사기관에 수사 의뢰"
KT가 침해사고를 인지한 9월 5일 이후 9월 8일에야 KISA에 신고한 사실과, 과거 BPFDoor 등 악성코드 감염 서버 43대를 자체 조치한 점도 문제로 지적했다. 일부 서버에는 개인정보가 저장돼 있었으며, 법령 위반에 따라 과태료 부과 대상이 될 수 있다.
또한 KT는 프랙 보고서에 언급된 인증서 유출 정황과 관련해 서버 폐기 일자를 허위 제출한 점, 서버 백업 로그 존재를 은폐한 점 등이 확인돼 정부 조사를 방해한 정황이 있다고 판단됐다. 조사단은 이를 형법 제137조 위반 혐의로 지난 10월 2일 수사기관에 수사를 의뢰했다.
KT는 외부 보안점검에서 확인된 서버 침해 사실도 지난 9월 15일 인지 후 9월 18일에야 당국에 신고했다. 조사단은 해당 서버에 대한 포렌식 분석을 통해 사고 원인과 보안 취약점을 추가로 확인할 예정이다.
과기정통부는 관계자는 "KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개할 예정이다"며 "KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다"고 말했다.
/서효빈 기자(x40805@inews24.com)포토뉴스
![누코드 “누구나 쉽게 IoT 제품/서비스 만드는 모듈기반 생태계 구현”[서울과기대 x 글로벌 뉴스]](https://it.donga.com/media/__sized__/images/2025/11/10/b223d1941a274eaf-thumbnail-960x540-70.jpg)
English (US) · 