"프랙 제보 맞았다"…정부, KT 악성코드 103종 감염·피해 규모 2.4억 확인
등록 2025.12.29 14:05:00수정 2025.12.29 15:00:25
과기정통부 민관합동조사단 KT 최종 조사결과 발표
94대 서버에 BPF도어·루트킷 등 악성코드 감염 확인
은닉형 악성코드 루트킷, 프랙 보고서에 언급된 내용
아이폰16 이하 암호화 지원 안 해… SMS 평문 전송
내년 1월까지 재발방지 대책 제출…6월에 이행 점검
![[서울=뉴시스] 김선웅 기자 = 사진은 지난달 4일 서울 종로구 KT 본사의 모습. 2025.11.04. mangusta@newsis.com](https://img1.newsis.com/2025/11/04/NISI20251104_0021044087_web.jpg?rnd=20251104142849)
[서울=뉴시스] 김선웅 기자 = 사진은 지난달 4일 서울 종로구 KT 본사의 모습. 2025.11.04. [email protected]
[서울=뉴시스]박은비 윤현성 기자 = 무단 소액결제 사고가 발생한 KT가 총 94대 서버에 악성코드 103종이 감염된 것으로 나타났다. 불법 펨토셀로 인한 침해사고로 인한 무단 소액결제 피해를 입은 고객은 368명(777건), 2억4300만원 규모다.
과학기술정보통신부 민관합동조사단은 29일 오후 KT 침해사고 최종 조사결과를 발표했다. 조사단이 KT 전체 서버 점검 및 감염서버 포렌식 결과 총 94대 서버에 BPF도어, 루트킷 등 악성코드 103종이 감염된 것으로 확인됐다.
KT가 지난해 3월부터 7월 감염서버를 발견하고도 신고 없이 자체 조치한 악성코드 감염서버는 총 41대로 BPF도어 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종이다. 중간조사 발표 당시 43대 감염으로 발표했지만 추가 조사 끝에 2대 서버는 SQL인젝션·스캐닝 공격시도만 발생하고 악성코드는 감염되지 않은 것으로 나타났다.
BPF도어 같은 은닉형 악성코드 '루트킷' 39종 확인…앞서 프랙 의혹 제기
이 중 루트킷은 시스템 운영체제의 핵심(커널) 부분을 조작해 악성코드 파일을 은닉하는 유형의 BPF도어와 같은 은닉형 악성코드다. 화이트해커가 프랙에 제보한 보고서에 언급된 바 있다.
![[서울=뉴시스] 과기정통부 민관합동조사단이 발표한 불법 펨토셀에 의한 침해사고 개요. (사진=과기정통부 제공) 2025.12.29. photo@newsis.com *재판매 및 DB 금지](https://img1.newsis.com/2025/12/29/NISI20251229_0002029034_web.jpg?rnd=20251229112109)
[서울=뉴시스] 과기정통부 민관합동조사단이 발표한 불법 펨토셀에 의한 침해사고 개요. (사진=과기정통부 제공) 2025.12.29. [email protected] *재판매 및 DB 금지
불법 펨토셀로 인한 침해사고로 2만2227명 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 2억4300만원 규모의 무단 소액결제 피해를 입은 것으로 파악됐다.
이는 지난해 8월 1일부터 올해 9월 10일까지 KT 기지국 접속기록 4조300억건, 통신결제대행 기록 1억5000만건, 음성·문자(SMS) 기록 978건, 고객문의(VoC) 30만건 이상 데이터 분석을 통해 산출한 결과다. 다만 통신결제 관련 데이터가 남아있지 않은 지난해 7월 31일 이전에 대해서는 추가 피해 여부 확인이 불가능했다.
정보 유출과 관련 조사단은 일부 감염서버에 이름, 전화번호, 이메일 등 개인정보가 저장됐지만 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것으로 분석했다.
그렇다고 해도 서버 내부 파일 접근과 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간은 1~2개월에 불과하고, 주요 시스템에 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었다는 게 조사단 설명이다. 로그기록이 남아있지 않은 기간에 대한 유출 여부 확인은 사실상 불가능하다.
펨토셀 관리 총체적 부실…인증서 유효기간 10년, KT망 지속 접속 가능
조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었다고 결론내렸다. 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공하고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출하는 게 가능했다.
또한 KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인정서를 사용하고 있어 해당 인증서를 복사하면 내부망 인증 서버로부터 KT망에 접속이 가능했다. KT 인증서 유효기간이 10년이라 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점도 발견됐다.
통신 과정에서 종단 암호화가 해제되지 않아야 하지만 불법 펨토셀에 의해 암호화가 해제돼 결제 인증정보가 전송되기도 했다. 실제 탈취 흔적은 발견되지 않았어도 불법 펨토셀에서 트래픽을 저장하고 전송할 수 있는 기능도 확인됐다.
특히 아이폰16 이하 일부 단말의 경우 KT가 암호화 설정 자체를 지원하지 않아 SMS가 평문으로 전송되는 문제가 파악됐다. 이와 관련 KT는 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화해야 한다.
[서울=뉴시스} 과기정통부 민관합동조사단이 발표한 통신사의 통신 암호화 체계. (사진=과기정통부 제공) 2025.12.29. [email protected] *재판매 및 DB 금지
아울러 KT는 보안점검 미흡으로 악성코드 뿐만 아니라 쉽게 탐지할 수 있는 웹셸도 발견하지 못했을 뿐더러 펨토셀 인증·제품등록을 관리하는 시스템을 방화벽 등 보안장비 없이 운용하고 있어 외부 공격에 취약한 상태였다.
이에 과기정통부는 KT 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하고 전사 차원의 중장기 보안 업무 계획을 수립해야 한다고 봤다. 아울러 펨토셀 도입 단계부터 납품, 구축·운영단계 전 과정에서의 하드웨어, 소프트웨어 공급망 보안 관리체계를 수립하고 관리해야 한다.
내년 1월까지 재발방지 대책 이행계획 제출…6월 이행 점검
프랙 보고서에 제보된 침해 정황 서버 관련 8월 1일(2대), 6일(4대), 13일(2대) 폐기하고도 1일에 폐기했다고 허위 보고한 사안에 대해서는 위계에 의한 공무집행방해로 현재 경찰이 수사 중이다.
과기정통부는 이번 조사단 조사 결과를 토대로 KT에 재발방지 대책에 따른 이행계획을 내년 1월까지 제출하게 할 방침이다. 내년 4월까지 KT가 이행했는지 여부를 같은해 6월 점검하기로 했다.
배경훈 부총리 겸 과기정통부장관은 "이번 KT, LG유플러스 침해사고는 SK텔레콤 침해사고에 이어 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라며 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 맏는 게 생존의 필수 조건임을 인식하고 정보보호를 경영 핵심가치로 삼아야 한다"고 말했다.
배 부총리는 이어 "정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침돼야 한다는 점을 인식하고 정보보호 역량을 고도화하는 데 최선을 다하겠다"며 "국민들이 혁신적인 AI 서비스를 안심하고 누릴 수 있는 환경을 만들도록 노력하겠다"고 강조했다.
◎공감언론 뉴시스 [email protected], [email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
