서버 94대 악성코드 103종 감염…통신사 최악 수준
문자·통화 유출 가능성에 안전한 통신 제공 의무 위반
(서울=연합뉴스) 서명곤 기자 = KT가 지난해 BPF도어(BPFDoor)라는 은닉성이 강한 악성 코드에 서버가 대량 감염된 사실을 자체 파악하고도 당국에 신고하지 않고 은폐한 것으로 파악됐다. BPF도어는 올해 초 불거진 SKT[017670] 해킹 사례에서도 큰 피해를 준 악성 코드다. KT 해킹 사고를 조사 중인 민관 합동 조사단은 6일 정부서울청사에서 중간 조사 결과에 대한 브리핑을 통해 이같이 밝혔다. 사진은 이날 서울 광화문 KT 본사 모습. 2025.11.6 seephoto@yna.co.kr
과학기술정보통신부는 이날 정부서울청사에서 서버 94대가 악성코드 103종에 감염돼 있었고 통화 정보가 유출될 위험이 있었던 KT가 이용자에 대한 위약금 면제 실시 대상에 해당한다는 내용을 골자로 한 KT 침해 사고 최종 조사 결과를 발표했다.
민관 합동 조사단이 KT 서버 3만3천대를 6차례에 걸쳐 점검한 결과 서버 94대가 BPF도어(BPFDoor), 루트킷, 디도스 공격형 코드 등 악성코드 103종에 감염돼 있었다.
역대급 통신사 해킹 사건으로 지목된 SKT[017670]의 경우 악성코드 33종에 감염됐고 공급망 보안 관리 취약으로 악성코드 1종이 서버 88대에 유입된 바 있는데 KT의 감염 범위가 더 광범위한 것이다.
KT는 작년 3월 감염 서버를 발견하고도 정부에 알리지 않고 서버 41대에 대해 코드 삭제 등 자체 조치로 무마해 피해 파악이 늦어졌다.
BPF도어 등 악성코드는 2022년 4월부터 인터넷 연결 접점이 있는 서버의 파일 업로드 과정의 취약점을 통해 서버에 침투한 것으로 파악됐다. 루트킷 등 악성코드는 방화벽, 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단할 수 없었다.
서버 감염과 별도로 불법 초소형 기지국(펨토셀)이 통신망에 무단 접속해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해를 본 이용자는 2만2천227명, 무단 소액결제 피해자는 368명, 피해액 2억4천300만원으로 중간 조사 결과와 변동이 없었다.
다만, 통신 결제 관련 데이터가 남아있지 않은 기간인 작년 7월 31일 이전의 피해 규모는 확인이 불가능해 추가 피해 여지는 미궁으로 남게 됐다.
(서울=연합뉴스) 서대연 기자 = 류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 KT·LGU+ 침해사고 조사 결과를 브리핑하고 있다. 2025.12.29 dwise@yna.co.kr
조사단은 경찰이 무단 소액결제범들로부터 확보한 불법 펨토셀을 포렌식 분석한 결과 이들 기기에 KT 망 접속에 필요한 KT 인증서 및 인증 서버 IP 정보와 해당 기지국을 거쳐 가는 트래픽을 가로채 제삼의 장소로 전송하는 기능이 있음을 확인했다.
여기에 단말기에서 코어망에 이르는 통신 과정에서 암호화가 풀리면서 ARS, SMS 등 결제 인증 정보가 탈취됐을 뿐 아니라 이용자의 문자, 통화 내용이 유출되는 일도 가능한 것으로 확인됐다.
특히, 아이폰 16 이하 기종 등 일부 단말기에는 KT가 암호화 설정 자체를 지원하지 않고 있었다.
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 언제 어디서든 접속할 수 있었다며 인증 서버 IP의 주기적 변경 및 대외비 관리 등 보안 관리 개선책을 요구했다.
모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 이를 복사하면 정상 펨토셀이 아니더라도 KT 망에 접속할 수 있었고 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었으며 정상 정보인지 검증 체계도 없었기 때문이다.
[연합뉴스 자료사진]
과기정통부는 KT 보안 조치의 총체적인 미흡이 위약금 면제 사유에 해당한다고 판단했다.
약관에 명시된 "회사의 귀책 사유로 이용자가 서비스를 해지할 경우 위약금을 면제할 수 있다"는 규정에 부합하며 특히 평문의 문자, 음성 통화가 제삼자에게 새어나갈 위험성은 소액결제 피해를 본 일부 이용자에 국한된 것이 전체 이용자에 해당한다고 봤기 때문이다.
조사단이 로펌 등 5개 기관을 대상으로 법률 자문을 진행한 결과 4곳에서 이번 침해 사고로 KT가 안전한 통신 서비스 제공이라는 계약의 주요 의무를 위반해 위약금 면제 규정 적용이 가능하다는 법적 판단을 전달했다.
과기정통부는 KT가 위약금 면제 조치를 SKT의 사례에 준해 적용할 것으로 보고 있다.
SKT는 사고 최종 조사 결과가 발표된 지난 7월 4일을 기준으로 열흘간 침해 사고 이후 해지한 고객을 포함해 위약금 면제를 적용한 바 있다.
조사단은 KT가 악성코드뿐 아니라 쉽게 탐지가 가능한 웹셸도 발견하지 못하는 등 보안 점검이 미흡했다며 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지 분석하는 도구(EDR), 백신 등 보안 설루션 도입을 확대하라고 요구했다.
아울러 분기에 1회 이상 모든 자산에 대해 보안 취약점을 정기 점검하고 운영 시스템 로그 기록을 최소 1년 이상 보관하며 중앙 로그 관리 시스템을 구축해 사이버 침해를 감시할 것을 촉구했다.
나아가 KT가 서버 등의 자산 종류, 규모, 운용 여부 등을 체계적으로 관리하지 않았다며 전사의 자산을 담당하는 정보기술최고책임자(CIO)를 지정하고 정보기술 자산관리 설루션을 도입하라고 했다.
과기정통부는 KT에 재발 방지 이행 계획을 내년 1월까지 제출하도록 하고 6월까지 이행 여부를 점검할 계획이다.
(서울=연합뉴스) 김성민 기자 = LG유플러스가 서버 해킹 정황을 사이버 보안 당국에 신고했다. LG유플러스는 23일 한국인터넷진흥원(KISA)에 서버 해킹 피해와 관련한 신고서를 제출했다. 사진은 이날 서울 용산구 LG유플러스 용산 사옥의 모습. 2025.10.23 ksm7976@yna.co.kr
한편, 민관 합동 조사단은 LGU+의 해킹 의혹에 대해 익명의 화이트해커로부터 정보 유출이 지목된 통합 서버 접근제어 설루션(APPM)이 해킹당했으며 서버 목록, 서버 계정정보 및 임직원 성명 등 관련 정보가 실제 유출된 것을 확인했다.
하지만, LGU+가 당국에서 침해 사고 정황을 안내한 이후에 서버 운영체계(OS)를 재설치 또는 폐기하며 구체적인 침해 내용이 드러나지 않았다.
이에 과기정통부는 LGU+가 조사를 방해했다고 보고 위계에 의한 공무집행 방해로 경찰청에 수사 의뢰했다.
LGU+는 "경찰 수사에 성실히 임하겠다"고 밝혔다.
csm@yna.co.kr