43개 서버 감염 자체 조치에 불법 펨토셀 접속 방치…KT 귀책사유
종단 간 암호화 해제로 통화 감청 가능성 배제 못해…정부 추가 조사
유심 무상 교체 과정 부도덕 행위 발견시 영업정지 등 행정지도
KT "정부 조사 성실히 협조……펨토셀 관리 체계 대대적 개선"
![[서울=뉴시스] 정병혁 기자 = 해커가 불법 KT 펨토셀을 이용해 단말기와 통신망 사이 암호화 체계를 뚫고 소액결제 인증정보를 빼냈던 것으로 나타났다. 과학기술정보통신부는 KT 침해사고 민관합동조사단의 중간조사 결과를 6일 발표했다. 조사단은 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다. 사진은 6일 서울 종로구 KT 본사. 2025.11.06. jhope@newsis.com](https://img1.newsis.com/2025/11/06/NISI20251106_0021047104_web.jpg?rnd=20251106144938)
[서울=뉴시스] 정병혁 기자 = 해커가 불법 KT 펨토셀을 이용해 단말기와 통신망 사이 암호화 체계를 뚫고 소액결제 인증정보를 빼냈던 것으로 나타났다. 과학기술정보통신부는 KT 침해사고 민관합동조사단의 중간조사 결과를 6일 발표했다. 조사단은 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
사진은 6일 서울 종로구 KT 본사. 2025.11.06. [email protected]
[서울=뉴시스] 심지혜 윤현성 기자 = 정부 합동조사 결과 KT 해킹 사태의 원인이 회사의 보안 관리 부실로 드러나면서 KT는 위약금 면제 부담과 법적 책임을 피하기 어려워졌다. 조사 과정에서 KT가 43대 서버의 ‘BPF도어(BPFdoor)’ 등 악성코드 감염 사실을 알고도 은폐하고, 망 관리 부실로 불법 펨토셀 접속을 방치한 정황이 추가로 확인됐다.
정부는 KT의 유심 교체 과정에서 부당 영업행위가 발생할 경우 신규 영업정지 등 제재 조치를 검토하겠다는 입장이다.
불법 펨토셀, 통신망 암호화 우회…통화 감청 가능성 여부도 조사
조사단은 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했다고 확인했다. 게다가 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다.
KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
불법 펨토셀을 장악한 해커가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, 문자 등 인증정보를 평문으로 취득할 수 있었다.
이번 사고는 KT가 불법 펨토셀에 대한 접근 인증 절차를 제대로 차단하지 못한 것으로 명백한 회사의 귀책사유로 지적된다. 조사단은 또 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다는 점도 확인했다.
특히 이번 조사에서 불법 펨토셀이 종단 간 암호화를 해제할 수 있는 점이 확인되면서 통신망 전체에 대한 패킷 감청 가능성도 제기되는 상황이다. 정부는 통화 데이터까지 탈취됐을 가능성까지 열어놓고 조사를 진행한다는 방침이다.
이와 관련, 이동근 한국인터넷진흥원 디지털위협대응본부장은 “종단 간 암호가 해제되는 경우는 굉장히 이례적인 케이스”라며 “정리가 되면 발표할 것”이라고 설명했다.
![[서울=뉴시스] 추상철 기자 = 최우혁 과학기술정보통신부 네트워크정책실장이 6일 오후 서울 종로구 정부서울청사에서 KT 침해사고 중간결과 발표를 하고 있다. 2025.11.06. scchoo@newsis.com](https://img1.newsis.com/2025/11/06/NISI20251106_0021047034_web.jpg?rnd=20251106141614)
[서울=뉴시스] 추상철 기자 = 최우혁 과학기술정보통신부 네트워크정책실장이 6일 오후 서울 종로구 정부서울청사에서 KT 침해사고 중간결과 발표를 하고 있다. 2025.11.06. [email protected]
유심 교체 중 부도덕 행위 발견시 '영업정지'
최우혁 과기정통부 네트워크정책실장은 “앞서 SK텔레콤 당시 신규 영업정지를 했던 이유는 유심이 부족한 가운데 무상 교체를 진행하면서 해당 물량을 신규 영업으로 돌리는 행위를 막기 위해 (영업정지)행정지도를 한 것”이라며 “KT도 그런 사태가 벌어진다면 동일한 조치로 들어갈 것”이라고 말했다.
이와 함께 KT 가입자들이 유심 무상교체가 진행되고 있다는 것을 충분히 인지할 수 있도록 고지하는 방안의 행정지도를 한다는 방침이다.
정부가 KT에도 SK텔레콤에 권고했던 위약금 면제 조치를 요구할 가능성도 제기된다.
과기정통부는 KT의 펨토셀 관리 부실, 침해 사실 은폐, 피해 정도 등과 관련한 조사 결과를 종합해 법률 자문을 거쳐 위약금 면제 사유에 해당하는지 발표하겠다고 했다.
행정지도도 불가피한 상황이다. KT는 무단 소액결제 관련 해킹 사실, 악성코드 감염 사실 등을 지연 신고했다. 정보통신망법상 침해사고 신고 지연·미신고는 3000만원 이하 과태료 대상이다.
정부는 KT에 형사 책임도 물을 계획이다. 정부는 KT가 서버를 폐기했다고 신고하면서 백업 로그를 숨기는 등의 행위가 정부 조사를 방해하기 위한 고의성이 있다고 보고 위계에 의한 공무집행방해로 수사를 의뢰했다. 수사 결과에 따라 경영진에 대한 형사 고발 조치가 이뤄질 가능성도 있다.
"침해사실 인지 후 지연신고…송구"
이어 "민관합동조사단의 중간 조사 결과를 엄중하게 받아들이며, 악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다"고 했다.
이와 관련, KT는 펨토셀의 제작부터 납품, 설치, 미사용 장비의 차단과 회수, 폐기에 이르기까지 전 과정에 걸친 펨토셀 관리 체계를 개선했다고 부연 설명했다. 아울러 모든 펨토셀의 인증서를 폐기 후 새로 발급하고, 인증 절차를 강화해 정상 장비 여부를 매일 점검하고 있다.
또 펨토셀이 작동할 때마다 인증을 수행하도록 해 미인증 장비는 원천적으로 망에 접속할 수 없도록 조치를 했다. 불법 장비의 사용을 방지하기 위해 소프트웨어 위·변조를 감지하는 시큐어 부트(Secure Boot) 기능을 적용하고 기기 위치의 이동을 차단했다고 설명했다.
미사용 펨토셀의 연동을 차단하고, 망 접근 제어 정책을 강화하는 등 확인된 취약점을 모두 개선해 유사 피해가 발생하지 않도록 조치했다.
◎공감언론 뉴시스 [email protected], [email protected]
