해킹사고에 SKT는 '50일간 영업 중단'·KT는 '無 중단'…왜 다를까(종합)

박은비 기자 2025. 12. 29. 17:01
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
과기정통부 민관합동조사단 KT 최종 조사결과 발표
94대 서버에 BPF도어·루트킷 등 악성코드 감염 확인
은닉형 악성코드 루트킷, 프랙 보고서에 언급된 내용
아이폰16 이하 암호화 지원 안 해… SMS 평문 전송
내년 1월까지 재발방지 대책 제출…6월에 이행 점검

[서울=뉴시스] 추상철 기자 = 류제명 과학기술정보통신부 제2차관이 29일 오후 서울 종로구 정부서울청사에서 열린 'KT-LGU+ 침해사고 조사 결과 발표' 관련 브리핑에서 취재진의 질문에 답변하고 있다. 2025.12.29. scchoo@newsis.com

[서울=뉴시스] 추상철 기자 = 류제명 과학기술정보통신부 제2차관이 29일 오후 서울 종로구 정부서울청사에서 열린 'KT-LGU+ 침해사고 조사 결과 발표' 관련 브리핑에서 취재진의 질문에 답변하고 있다. 2025.12.29. scchoo@newsis.com


[서울=뉴시스]박은비 윤현성 기자 = 정부가 무단 소액결제 사고가 발생한 KT를 조사한 결과, 총 94대 서버에 악성코드 103종이 감염된 것으로 나타났다. 불법 펨토셀로 인한 침해사고로 무단 소액결제 피해를 입은 고객은 368명(777건), 2억4300만원 규모다.

주무부처인 과학기술정보통신부는 KT를 상대로 위계에 의한 공무집행방해 혐의로 경찰에 수사 의뢰했으며, 3000만원 이하 과태료(지연·미신고 잘못)를 부과할 계획이다.

다만 올 상반기 사이버 침해 사고를 낸 SK텔레콤에 부과했던 신규 영업중단 조치는 없을 전망이다. SK텔레콤의 경우 올해 상반기 유심정보 유출 사고로 과기정통부로부터 신규 영업 중단 조치를 받았고, 이로 인해 50일간이나 가입자 유치가 중단된 바 있다.

어떤 이유에서일까. 과기정통부는 SK텔레콤을 상대로 조치된 신규 영업 중단은 징벌적인 행정 조치가 아니라는 입장이다. SK텔레콤이 당시 유심 재고난이 심각했던 상황이라 신규 영업을 병행했지만 KT는 그런 상황이 아니라는 판단이다.

BPF도어 같은 은닉형 악성코드 '루트킷' 39종 확인…앞서 프랙 의혹 제기

과기정통부 민관합동조사단은 29일 오후 KT 침해사고 최종 조사결과를 발표했다. 조사단이 KT 전체 서버 점검 및 감염서버 포렌식 결과 총 94대 서버에 BPF도어, 루트킷 등 악성코드 103종이 감염된 것으로 확인됐다.

KT가 지난해 3월부터 7월 감염서버를 발견하고도 신고 없이 자체 조치한 악성코드 감염서버는 총 41대로 BPF도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종이다. 중간조사 발표 당시 43대 감염으로 발표했지만 추가 조사 끝에 2대 서버는 SQL인젝션·스캐닝 공격시도만 발생하고 악성코드는 감염되지 않은 것으로 나타났다.

또한 KT가 올해 5월 22일부터 9월 15일까지 자체적으로 실시한 외부업체 보안점검에서 침해 흔적이 발견된 것으로 파악된 서버와 연계 서버를 포렌식하는 과정에서 53대 서버 감염, 루트킷 39종, 백도어 36종, 디도스 공격형 2종 등 77종의 악성코드가 확인됐다.

이 중 루트킷은 시스템 운영체제의 핵심(커널) 부분을 조작해 악성코드 파일을 은닉하는 유형의 BPF도어와 같은 은닉형 악성코드다. 화이트해커가 프랙에 제보한 보고서에 언급된 바 있다.

[서울=뉴시스] 김혜진 기자 = 사진은 29일 서울 시내 한 KT 대리점. 2025.12.29. jini@newsis.com

[서울=뉴시스] 김혜진 기자 = 사진은 29일 서울 시내 한 KT 대리점. 2025.12.29. jini@newsis.com


류제명 과기정통부 2차관은 이날 브리핑에서 "SK텔레콤의 BPF도어 공격 패턴이나 기술적 분석을 통해 (KT 사태와) 유사성이 있다고 판단되나 정확하게 같은 공격자인지 판단하는 데는 한계가 있다. 두 회사 간 유사성은 있으나 동일 공격자인지 단정은 어렵다"고 말했다.

류 차관은 이번 KT 해킹 사태의 원인 중 하나인 BPF도어 악성코드를 두고 "BPF도어와 관련해 중국이라는 국가 배후를 특정하고 접근해야 되지 않느냐는 이야기들이 있는데, 공격 시점 등을 봤을 때 (BPF도어가) 오픈소스화된 후 (해킹이) 이뤄진 상황"이라고 설명했다.

이어 "이번 KT 사태의 경우에도 BPF도어가 어떤 국가배후의 공격인지, 오픈소스화된 이후 (다른) 공격자에 의한 공격인지 단정하기는 어렵다. 다만 이번 조사의 경우 저희가 정부기관의 공식 요청에 따라서 상세 내용을 서로 공유·협조했다"고 덧붙였다.

아울러 류 차관은 "(소액결제에 필요한 개인정보가 미상의 경로로 획득했다고 했는데 어떻게 획득했는지) 개인정보 유출 경로와 방식은 민관합동조사단 조사로는 한계가 있었다"며 "개인정보 유출에 대해 심층적으로 들여다보는 건 개보위에서 파악될 부분"이라고 했다.

[서울=뉴시스] 박은비 기자 = 최광기 과학기술정보통신부 사이버침해대응과장이 29일 정부서울청사에서 KT, LG유플러스 침해사고에 대한 민관합동조사단의 조사 결과를 발표하고 있다. 2025.12.29. silverline@newsis.com

[서울=뉴시스] 박은비 기자 = 최광기 과학기술정보통신부 사이버침해대응과장이 29일 정부서울청사에서 KT, LG유플러스 침해사고에 대한 민관합동조사단의 조사 결과를 발표하고 있다. 2025.12.29. silverline@newsis.com


불법 펨토셀로 인한 침해사고로 2만2227명 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 2억4300만원 규모의 무단 소액결제 피해를 입은 것으로 파악됐다.

이는 지난해 8월 1일부터 올해 9월 10일까지 KT 기지국 접속기록 4조300억건, 통신결제대행 기록 1억5000만건, 음성·문자(SMS) 기록 978건, 고객문의(VoC) 30만건 이상 데이터 분석을 통해 산출한 결과다. 다만 통신결제 관련 데이터가 남아있지 않은 지난해 7월 31일 이전에 대해서는 추가 피해 여부 확인이 불가능했다.

정보 유출과 관련 조사단은 일부 감염서버에 이름, 전화번호, 이메일 등 개인정보가 저장됐지만 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것으로 분석했다.

그렇다고 해도 서버 내부 파일 접근과 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간은 1~2개월에 불과하고, 주요 시스템에 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었다는 게 조사단 설명이다. 로그기록이 남아있지 않은 기간에 대한 유출 여부 확인은 사실상 불가능하다.

펨토셀 관리 총체적 부실…인증서 유효기간 10년, KT망 지속 접속 가능

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 결론내렸다. 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공하고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출하는 게 가능했다.

또한 KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하면 내부망 인증 서버로부터 KT망에 접속이 가능했다. KT 인증서 유효기간이 10년이라 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점도 발견됐다.

통신 과정에서 종단 암호화가 해제되지 않아야 하지만 불법 펨토셀에 의해 암호화가 해제돼 결제 인증정보가 전송되기도 했다. 실제 탈취 흔적은 발견되지 않았어도 불법 펨토셀에서 트래픽을 저장하고 전송할 수 있는 기능도 확인됐다.

[서울=뉴시스] 과기정통부 민관합동조사단이 발표한 불법 펨토셀에 의한 침해사고 개요. (사진=과기정통부 제공) 2025.12.29. photo@newsis.com *재판매 및 DB 금지

[서울=뉴시스] 과기정통부 민관합동조사단이 발표한 불법 펨토셀에 의한 침해사고 개요. (사진=과기정통부 제공) 2025.12.29. photo@newsis.com *재판매 및 DB 금지


특히 아이폰16 이하 일부 단말의 경우 KT가 암호화 설정 자체를 지원하지 않아 SMS가 평문으로 전송되는 문제가 파악됐다. 이와 관련 KT는 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화해야 한다.

이와 관련 류 차관은 "펨토셀 관리와 관련된 인증 관리부터 여러가지 보안조치들을 통해 그 시점 이후로 펨토셀에 의한 침투 가능성은 없다고 판단하고 있다"며 "지금 계속 망 운영을 통해 모니터링을 하고 있다. 모니터링 결과 의심 정황이나 침투는 없었다"고 강조했다.

이와 함께 KT는 보안점검 미흡으로 악성코드 뿐만 아니라 쉽게 탐지할 수 있는 웹셸도 발견하지 못했을 뿐더러 펨토셀 인증·제품등록을 관리하는 시스템을 방화벽 등 보안장비 없이 운용하고 있어 외부 공격에 취약한 상태였다.

이에 과기정통부는 KT 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하고 전사 차원의 중장기 보안 업무 계획을 수립해야 한다고 봤다. 아울러 펨토셀 도입 단계부터 납품, 구축·운영단계 전 과정에서의 하드웨어, 소프트웨어 공급망 보안 관리체계를 수립하고 관리해야 한다.

내년 1월까지 재발방지 대책 이행계획 제출…6월 이행 점검

KT는 지난해 3월 웹셸, BPF도어 등 악성코드를 발견하고도 신고하지 않고 자체 조치를 취한 바 있다. 이와 같은 미신고 행위를 비롯해 무단 소액결제 이상 통신패턴, 외부 보안업체 점검결과 침해 흔적 확인 등 지연신고와 관련 3000만원 이하 과태료가 예고된 상태다.

프랙 보고서에 제보된 침해 정황 서버 관련 8월 1일(2대), 6일(4대), 13일(2대) 폐기하고도 1일에 폐기했다고 허위 보고한 사안에 대해서는 위계에 의한 공무집행방해로 현재 경찰이 수사 중이다.

과기정통부는 이번 조사단 조사 결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출하게 할 방침이다. 내년 4월까지 KT가 이행했는지 여부를 같은 해 6월 점검하기로 했다.

☞공감언론 뉴시스 silverline@newsis.com, hsyhs@newsis.com

Copyright © 뉴시스. 무단전재 및 재배포 금지.

뉴시스에서 직접 확인하세요. 해당 언론사로 이동합니다.