부문 기준 매출액증가율 위 당기순이익 증가율 위 ROE 위

서버 43대 감염됐는데…KT, 작년에도 해킹 피해 은폐 의혹

파이낸셜뉴스 2025.11.06 17:24 댓글0

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 <span id='_stock_code_030200' data-stockcode='030200'>KT</span> 침해사고 중간조사 결과를 발표하고 있다. 뉴스1

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 뉴스1

[파이낸셜뉴스] 지난해 KT 서버 43대가 은닉성이 매우 높은 악성코드 'BPF도어'에 감염됐던 것으로 파악됐다. BPF도어는 SK텔레콤 내부망에 침투한 악성코드와 동일한 것이다. 특히 KT는 사고 발생 이후 정부에 신고하지 않고, 자체 처리해 해킹 은폐 의혹을 받고 있다. 또 KT에 납품되는 모든 펨토셀(소형기지국)이 동일한 인증서를 사용하는 등 내부 인증 관리에도 허점이 다수 발견됐다.

악성코드 감염 알고도 자체 처리

6일 KT 침해사고 민관합동조사단이 서울 종로구 정부서울청사에서 발표한 'KT 침해사고에 대한 중간 조사 결과'에 따르면 조사단은 서버 포렌식 분석 등을 통해 지난해 KT 서버 43대에 BPF도어 등 악성코드 침해사고가 발생한 것을 확인했다. BPF도어는 지워져 있었으나, BPF도어를 검출하기 위한 일종의 '백신' 흔적을 조사단이 찾아냈다. KT는 과거 악성코드 감염 사실을 알고도 당국에 신고하지 않은 채 자체 처리했다. 일부 감염 서버에는 가입자 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 개인정보가 저장돼 있었다. 조사단은 가입자 인증 정보 등이 담긴 홈가입자서버(HSS)에 악성코드 침투 여부도 조사 중이다. 최우혁 과기정통부 네트워크정책실장은 "포렌식 등을 통해 43대 서버를 모두 조사·확인한 뒤 최종 결과를 분석해 보고하겠다"고 말했다.

KT의 펨토셀 및 내부망 관리도 총체적으로 부실했던 것으로 파악됐다.

KT는 불범 펨토셀을 운영하는 피의자가 암호화를 해제한 상태에서 인증정보(ARS·SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 또 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었다. 아울러 펨토셀 제조사는 펨토셀에 탑재되는 셀 아이디, 인증서, KT 서버 인터넷 통신 규약(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했다. 이를 통해 펨토셀 저장 장치에서 해당 정보를 쉽게 확인·추출할 수 있었다는 게 조사단의 분석이다.

늑장 신고로 정부 조사 방해 의혹도

조사단은 KT는 올해 발생한 해킹 침해 사고도 지연 신고했다고 밝혔다. KT는 올해 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견해 9월 5일 차단 조치했음에도 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일에야 침해사고를 신고했다. 해킹 전문지 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해서도 KT는 8월 1일에 관련 서버를 폐기했다고 한국인터넷진흥원(KISA)에 답변했으나, 실제로는 그 뒤에도 관련 서버를 폐기하는 등 폐기 시점을 당국에 허위 제출했다. KT는 폐기 서버 백업 로그가 있음에도 9월 18일까지 조사단에 이를 보고하지 않았다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해 수사 의뢰했다.

KT는 외부 업체를 통한 보안점검 결과를 통해 올해 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것도 확인했으나, 9월 18일에야 당국에 침해사고를 지연신고했다.

조사단은 향후 조사 결과를 토대로 법률검토를 거쳐 KT 위약금 면제 사유 해당 여부를 판단할 방침이다. KT의 과거 서버 침해 은폐 의혹, 고의 지연 신고 등을 감안할 때 당국이 위약금 면제 판단을 할 가능성이 높다는 관측이 나온다. 앞서 조사단은 SK텔레콤 해킹 사고가 기업의 중대한 과실에 해당되는 만큼 위약금을 면제해야 한다는 결론을 내린 바 있다.

KT는 조사단 발표 후 입장문을 내고 정부 합동조사단 및 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다하겠다고 강조했다. KT는 "악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다"고 했다.

mkchang@fnnews.com 장민권 기자

Copyrightⓒ 파이낸셜뉴스. 무단전재 및 재배포 금지.