4 days ago
6
![[속보] KT, 작년에 악성코드 감염 알았다…신고 않고 '자체 처리'](https://img.hankyung.com/photo/202511/01.42297908.1.jpg)
KT가 지난해 악성코드에 감염된 서버를 알고도 당국에 신고하지 않고 자체 처리한 사실이 드러났다. 6일 KT 침해사고 민관합동조사단은 브리핑을 통해 이같은 내용을 담은 중간 조사결과를 발표했다.
조사단은 "서버 포렌식 분석 결과 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했다는 사실을 파악했다"며 "KT가 이를 신고하지 않고 자체 처리한 사실도 확인했다"고 밝혔다. 이는 정보통신망법 상 3000만원 이하 과태료 부과 대상이다.
조사단에 따르면 KT는 지난해 3∼7월의 기간 동안 BPFDoor, 웹셸 등 악성코드 감염서버 43대를 발견하고도 정부에 신고 없이 자체적으로 조치했다. 일부 감염서버에서는 이름, 전화번호, 이메일주소, 단말기식별번호(IMEI) 등의 정보가 저장되어 있다는 사실도 드러났다.
지난 9월 8일, KT는 소액결제 피해자의 통화이력을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하여 한국인터넷진흥원(KISA)에 침해사고를 신고했다. 이후 즉시 정부는 민관합동조사단을 꾸려 해당 사안에 대한 조사에 나섰다.
약 2개월간의 조사 결과 조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출사고와 관련해 불법 펨토셀로 인한 피해 현황, KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점, 소액결제 인증정보(ARS, SMS) 탈취 시나리오, 과거 BPFDoor 등 악성코드 발견 및 조치 사실, 침해사고 신고 지연 등 법령 위반사항 등 5가지 사항을 확인했다고 밝혔다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다고 발표했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했다는 것이다. 여기에 KT 인증서의 유효기간이 10년으로 설정되어 있어 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점도 발견했다. 조사단은 지난 5일 펨토셀 제품별 별도 인증서 발급을 조치했다고 발표했다.
펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했다는 점도 파악했다. 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능하다는 점도 확인했다.
KT가 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었다는 점도 드러났다. 이어 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았던 것으로 나타났다.
KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 기지국 간 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다. 종단 암호화는 단말에서 코어망까지 통신데이터 자체를 암호화하는 것이다.
조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었다는 점을 밝혀냈다. 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 조사단은 "불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획"이라고 밝혔다.
조사단은 KT가 지난 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 차단 조치했음에도 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일 침해사고를 지연신고했다고 밝혔다. 이 또한 정보통신망법 상 3000만원 이하 과태료 부과 대상이다.
조사단은 이어 KT가 외부 업체를 통한 보안점검 결과를 통해 지난 9월15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인했으나 18일 오후 11시 57분에야 당국에 침해사고를 지연신고한 사실도 지적했다.
최지희 기자 mymasaki@hankyung.com
![누코드 “누구나 쉽게 IoT 제품/서비스 만드는 모듈기반 생태계 구현”[서울과기대 x 글로벌 뉴스]](https://it.donga.com/media/__sized__/images/2025/11/10/b223d1941a274eaf-thumbnail-960x540-70.jpg)
English (US) · 