KT, 보안 실패 넘어 '보고 은폐'…불법 펨토셀로 내부망 취약점 드러나(종합)

[이데일리 권하영 기자] 단순한 보안 사고가 아니었다. KT(030200)가 지난해 악성코드 감염 사실을 알고도 숨기고, 기지국 장비(펨토셀) 관리 부실로 대규모 정보 유출과 무단 소액결제 피해를 초래한 사실이 정부 조사로 드러났다. 해킹 대응은 커녕 사고 자체를 은폐하려 했다는 점에서, 정부는 이번 사안을 ‘조사 방해 행위’로 판단하고 수사기관에 형사 의뢰했다.

(서울=뉴스1) 임세영 기자 = 최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 2025.11.6/뉴스1

과학기술정보통신부 민관합동조사단은 6일 KT 침해사고 중간조사 결과를 발표하며 “KT가 2024년 3~7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않았다”고 밝혔다. 감염된 일부 서버에는 고객의 성명·전화번호·이메일주소 등 개인정보가 저장돼 있었으며, 이는 KT의 자진 보고가 아닌 정부 포렌식 분석 과정에서 드러났다.

최우혁 과기정통부 네트워크정책실장은 이날 브리핑에서 “BPF도어 자체를 발견한 것은 아니고, BPF도어를 검출하는 스크립트, 즉 백신을 돌린 흔적을 발견했다”며 “구체적인 악성코드 종류와 수 등은 조사를 진행하며 추후 공개하겠다”고 설명했다.

정보통신망법상 이런 미신고 행위는 3000만원 이하 과태료에 그치지만, 정부는 단순 행정 위반을 넘어 고의적 은폐로 보고 형법상 수사 절차로 넘겼다. 최우혁 실장은 “조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단하고 형법상 위계에 의한 공무집행 방해 혐의로 10월 2일 수사기관에 수사를 의뢰했다”고 언급했다.

서버 감염 미신고 외에도 지연 신고 및 서버 폐기 허위 보고 등 KT의 보고·대응 과정전반에서 다수 문제점이 드러나며 파장은 클 것으로 보인다.

KT는 9월 1일 경찰로부터 무단 소액결제 피해 사실을 전달받고도 5일 새벽 차단조치 후 8일 저녁에서야 침해사고를 신고했다. 또 9월 15일 외부 보안점검에서 내부 서버 침해 흔적을 확인하고도 18일 밤늦게 보고했다. 이 과정에서 KT는 관련 서버를 8월 1일 폐기했다고 정부에 보고했으나, 실제로는 13일까지 순차 폐기한 사실이 뒤늦게 밝혀졌다. 폐기 서버의 백업 로그 역시 보고되지 않아 자료 인멸 의혹이 불거졌다.

불법 펨토셀로 내부망 쉽게 접속…암호화 해제도 가능

이번 침해의 출발점은 불법 펨토셀(소형 기지국) 접속이었다. 조사단에 따르면 KT의 펨토셀 관리체계 자체가 부실했던 것이 문제 핵심 원인으로 지목된다. KT는 납품 펨토셀에 동일한 인증서를 적용하고 유효기간을 10년으로 설정했으며, 제조사와 외주업체 간에는 인증서·서버 IP 등 중요 정보가 보안관리체계 없이 전달됐다.

이로 인해 해커가 불법 펨토셀을 조작해 KT 내부망에 접속할 수 있었으며, 단말과 코어망 간 종단 암호화를 해제해 ARS·SMS 인증 정보를 평문으로 탈취할 수 있는 가능성이 확인됐다. 정부는 불법 펨토셀을 통해 결제 인증 정보뿐만 아니라 문자·음성통화 탈취 가능 여부에 대해서도 전문가 자문 및 추가 실험을 통해 조사해 나갈 계획이다.

현재 KT는 약 4조300억 건의 기지국 접속 이력과 1억5000만 건의 결제 기록을 분석해 2만2227명의 가입자 정보가 유출되고, 368명이 총 2억4319만원 규모의 소액결제 피해를 본 사실을 파악한 상태다. 다만 2024년 8월 이전 데이터는 기록이 남지 않아 피해 전모를 조사하기 어렵다.

조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 전면 제한(9월 10일)하고, KT에 △통신사 인증서 유효 기간 단축(10년→1개월, 9월 10일) △펨토셀 접속 요구 시 KT 유선 IP 외에는 차단(9월 23일) △펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증(10월 3일~) △펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치토록 했다.

포렌식 정밀 분석 중…추후 최종 조사 결과 발표

과기정통부는 경찰 수사와 별개로 개인정보보호위원회·KISA 등 정부 합동 분석을 통해 피해자 범위를 확정하고, 이용자 약관상 위약금 면제 여부 등 후속조치를 검토할 계획이다. 또 불법 펨토셀 실물과 압수 장비를 포렌식 분석해 유심 인증키 등 핵심 보안정보가 유출됐는지 추가로 확인 중이다.

최우혁 실장은 “최종 조사 결과는 지금 예단하기 어려우나 모든 리소스를 투입해 최대한 빨리 분석하겠다”며 “펨토셀 장비를 이용한 사이버 공격이 예외적인 상황이라 분석에 시간이 많이 걸렸고, 이번에 BPF도어 감염 서버도 43대 발견됐으므로 전체 포렌식에 상당한 시간이 걸릴 수 있다”고 전했다.

KT “정부 조사 협조, 고객 보호조치 총력”

이에대해 KT는 무단 소액 결제 피해 및 침해 사고에 대한 정부 조사에 성실히 협조하며 네트워크 안전 확보와 고객 보호조치에 총력을 다하겠다고 밝혔다.

또 민관합동조사단의 중간 조사 결과를 엄중하게 받아들이며, 악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다고 밝혔다.

한편 KT는 고객 신뢰 회복과 재발 방지를 최우선 과제로 삼고, 모든 고객 보호 프로세스와 네트워크 관리 체계를 전면 재점검해왔다.

특히 펨토셀의 제작부터 납품, 설치, 미사용 장비의 차단과 회수, 폐기에 이르기까지 전 과정에 걸친 펨토셀 관리 체계를 대폭 강화했다. 모든 펨토셀의 인증서를 폐기 후 새로 발급하고, 인증 절차를 강화해 정상 장비 여부를 매일 점검하고 있다. 또 펨토셀이 작동할 때마다 인증을 수행하도록 해 미인증 장비는 원천적으로 망에 접속할 수 없도록 조치를 완료했다.