KT, 악성코드 감염 미신고·서버 폐기 허위 보고…해킹 은폐 정황에, 정부 “수사 의뢰”
정부 민관합동조사단 KT 해킹 사고 조사 결과 중간 발표
기지국 접속 기록 남지 않은 추가 피해자도 존재 가능
침해사고 3건 신고 누락…과기정통부 “고의성 있다“ 판단
과학기술정보통신부는 6일 KT 해킹 사고에 대한 민관합동조사단(이하 조사단)의 중간 조사 결과를 발표하며, KT가 과거 악성코드 감염 사실을 신고하지 않고 자체 처리한 것으로 확인됐으며 서버 폐기 과정에서도 허위 보고 정황이 드러났다고 밝혔다.
조사단은 침해 사고의 원인을 KT의 내부망 인증 체계가 부실해 불법 ‘소형 기지국(펨토셀)’이 접속했고 이 과정에서 결제 인증 정보가 평문으로 탈취된 것으로 판단했다. 현재까지 피해자는 2만2227명, 소액결제 피해액은 2억4319만원에 달하며, 기지국 접속 기록이 없어 아직 집계되지 않은 추가 피해자도 있는 것으로 파악됐다.
최우혁 과기정통부 네트워크정책실장은 “조사단은 KT의 허위 보고와 미신고 행위에 고의성이 있다고 보고 형법상 공무집행방해 혐의로 수사기관에 의뢰했다”고 설명했다.
피해자 2만2000명·결제 피해 2억4000만원…통신 기록 남지 않은 피해도 존재
조사단은 KT가 2024년 8월 1일부터 2025년 9월 10일까지의 기지국 접속 이력 4조300억 건과 결제 이력 1억5000만 건을 전수 분석한 결과, 불법 펨토셀 20대에 접속한 2만2227명의 단말·가입자 식별정보(IMSI·IMEI), 전화번호 유출 정황을 확인했다고 밝혔다. 그 중 368명에게 실제 소액결제 피해(2억4319만원)가 발생했다.
조사단은 KT가 불법 기지국과 정상 기지국을 구분하기 어려운 환경에서 내부 로그 분석을 여러 차례 반복했으며, “분석 방식의 정확성 및 피해자 누락 여부를 추가 검증 중”이라고 설명했다. 특히 조사단은 2024년 8월 이전의 통신 기록이 남아 있지 않아 당시 피해는 확인이 불가능했다고 밝혔다.
‘기지국 접속 이력이 남지 않은 상태에서 결제가 발생한 사례’도 언급됐다. 최 실장은 이에 대해 “기록이 없더라도 피해자가 실제 불법 기지국에 붙었기 때문에 결제가 이뤄진 것이며, 로그가 일부 누락된 것은 통신사 시스템 특성상 생길 수 있는 기술적 한계”라고 설명했다. 이어 “통신 3사 모두 이런 손실 로그 현상이 존재한다”고 덧붙였다.
동일 인증서·10년 유효기간…KT망 “불법 기지국 접속 가능한 구조”
조사단은 KT의 소형 기지국 관리 체계가 구조적으로 허술해 불법 장비가 내부망에 쉽게 접근할 수 있었다고 지적했다.
KT에 납품된 모든 펨토셀 장비는 동일한 인증서를 사용하고 유효기간이 10년으로 설정돼 있었다. 이 인증서를 복제하면 불법 기기도 KT 코어망에 정상 장비로 등록돼 접속할 수 있었다.
게다가 펨토셀 제조 과정에서 외주업체가 셀 아이디(ID) 인증서, 서버 IP 등 중요정보를 별도 암호화 없이 전달받았던 사실도 확인됐다. 이로 인해 장비 저장장치에서 해당 정보를 누구나 추출할 수 있었다. KT 내부망은 또 비정상 해외 통신규약(IP) 접속 차단 기능이 작동하지 않았고, 기지국 제품의 형상정보(모델·설치지역)가 실제 등록 정보와 일치하는지도 검증하지 않았다. 이런 환경에서 불법 펨토셀이 코어망까지 접근해도 실시간 탐지가 불가능한 상태였다는 게 조사단의 설명이다.
이에 정부는 9월 10일 통신 3사에 신규 펨토셀 접속을 전면 제한토록 하고, KT에는 ▲인증서 유효기간 단축(10년→1개월) ▲비정상 IP 차단 강화 ▲형상정보 인증 절차 도입 ▲제품별 인증서 개별 발급 등의 시정조치를 내렸다.
최 실장은 “KT의 소형 기지국 관리 체계가 전반적으로 부실해 불법 장비가 내부망에 쉽게 접속할 수 있는 환경이 확인됐다”며 “통신망의 보안을 허술하게 만든 관리 부실 사례”라고 지적했다. 조사단 관계자도 “국내 통신망의 인증서 체계가 통합 관리되는 만큼 한 번 복제된 인증서가 여러 장비에 무제한으로 적용되는 문제를 확인했다”고 덧붙였다.
암호화 해제돼 인증정보 평문 전송…“결제·인증정보 탈취 확인”
조사단은 이번 사태에서 가장 중요한 기술적 원인으로 종단 암호화(단말~핵심망 구간)의 해제를 지목했다.
KT의 통신망은 국제표준(3GPP)과 한국정보통신기술협회(TTA) 규격에 따라 구간 암호화 및 종단 암호화를 적용하고 있다. 그러나 불법 펨토셀을 장악한 공격자가 통신 초기화 과정에 개입할 경우, 단말기와 핵심망 사이의 암호화 키를 무력화해 인증정보를 평문으로 탈취할 수 있다는 사실이 실험으로 확인됐다.
정부는 실제 테스트베드 실험에서 종단 암호화를 해제했을 때 자동응답체계(ARS)·단문 메시지(SMS) 인증정보가 평문 형태로 전송되는 것을 확인했다고 밝혔다. 이로써 공격자는 사용자의 휴대전화 인증번호를 직접 가로채 소액결제를 승인할 수 있는 구조가 된다.
조사단 관계자는 “통화·문자 등 다른 데이터가 탈취됐을 가능성도 배제하지 않고 있다”며 “전문가 자문과 추가 실험을 통해 피해 범위를 더 정밀하게 파악 중”이라고 말했다. 최 실장은 “불법 펨토셀을 통한 추가 피해의 모든 가능성을 열어두고, 추후 조사 결과를 국민에게 투명하게 공개하겠다”고 강조했다.
43대 서버 악성코드 감염 신고 누락…조사단이 포렌식으로 발견
조사단은 KT가 지난해 3∼7월 사이 BPF도어·웹셸 등 악성코드에 감염된 서버 43대를 발견했지만 이를 정부에 신고하지 않았다는 사실도 확인했다.
KT는 감염 서버를 자체 점검으로 조치했다고 보고했으나, 실제로는 조사단의 포렌식 과정에서 조사단이 KT 내부에서 백신 스크립트를 돌린 흔적을 직접 찾아냈다. 즉, KT가 자진 보고한 것이 아니라 조사단이 은폐된 감염 이력을 추적해 찾아낸 것이다.
최 실장은 “이번에 확인된 악성코드 감염 사실은 KT가 밝힌 게 아니라 조사단이 포렌식 중 발견한 사항”이라며 “과거 SK텔레콤 사례와 마찬가지로 침해 사실을 회사가 자체적으로 처리한 뒤 보고하지 않았다”고 지적했다.
일부 감염 서버에는 성명·전화번호·이메일주소·단말기 식별번호(IMEI) 등이 저장돼 있었던 것으로 파악됐다. 조사단은 “이 서버들이 실제 개인 결제정보 유출로 이어졌는지 여부는 개인정보보호위원회와 함께 확인할 예정”이라고 밝혔다. 과기정통부는 이를 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법)’ 위반으로 보고 과태료 부과 절차를 검토 중이다.
서버 폐기일 허위 제출…“조사 방해로 형법상 수사의뢰”
조사단은 KT가 미국 보안 전문 매체 프랙의 보고서에 언급된 국가배후 해커의 인증서 유출 정황 관련 서버 폐기 일자를 허위로 제출한 사실도 확인했다.
KT는 처음에 “8월 1일 서버를 폐기했다”고 답변했지만, 실제로는 8월 1일·6일·13일 세 차례에 걸쳐 총 8대 서버를 순차 폐기했다. 게다가 폐기 서버의 백업 로그가 존재했음에도 9월 18일까지 이를 보고하지 않았다.
이에 과기정통부는 “KT가 서버 폐기 시점을 허위로 제출하고 백업 로그를 보고하지 않은 것은 정부 조사를 방해하기 위한 고의성이 있다고 판단된다”며, 형법 제137조(위계에 의한 공무집행방해) 혐의로 지난 10월 2일 경찰에 수사 의뢰했다고 밝혔다.
최 실장은 이에 대해 “행정 처분을 넘어 형법상 처벌 가능성이 있는 사안”이라고 설명했다. KT가 정부 조사 직전 폐기 시점을 조작한 것은 단순한 보고 오류가 아니라 조사 자체를 지연시키기 위한 의도적 행위로 볼 수 있다는 것이다.
침해사고 신고도 지연, 2건 모두 법 위반
조사단에 따르면, KT는 올해 9월 1일 경찰로부터 특정 지역의 무단 소액결제 정황을 통보받고 9월 5일 새벽 3시쯤 내부망 이상 통신 패턴을 차단했지만, 실제 침해사고 신고는 9월 8일 오후 7시16분에야 이뤄졌다. 침해사고 신고 의무(24시간 이내)를 어긴 셈이다. 또 외부업체 보안점검을 통해 9월 15일 내부 서버의 침해 흔적을 확인하고도 9월 18일 자정 직전에서야 신고했다.
조사단은 “두 건 모두 법적 의무를 위반한 명백한 지연 신고 사례”라며 정보통신망법에 따라 각 3000만원 이하 과태료 부과 대상이라고 밝혔다. 이어 “KT가 침해사고를 인지하고도 법정 기한(24시간) 내 신고하지 않아 정보통신망법을 위반했다”며 “관련 사실관계를 추가로 확인 중”이라고 밝혔다.
또한 조사단은 “KT 침해사고에 대한 엄정한 조사를 거쳐 최종 결과를 공개하겠다”며 “KT의 펨토셀 관리 문제, 과거 악성코드 발견 등 지금까지 확인된 사실관계와 추가 조사 결과를 토대로 법률 자문을 거쳐 이용약관상 위약금 면제 사유에 해당하는지 여부를 판단하겠다”고 밝혔다.
최근 KT가 발표한 유심(USIM) 교체 조치에 대해서는 “정부가 직접 지시한 적은 없으며 각 통신사가 자율적으로 판단한 사안”이라고 선을 그었다. 다만 KT가 피해 지역 가입자에게 개별 문자 안내를 하지 않았다는 지적에는 “해당 지역 가입자가 피해를 인지할 수 있도록 행정지도를 하겠다”고 답했다.
끝으로, 최 실장은 “불법 펨토셀이 통신망 내부로 침투해 인증 정보를 탈취한 첫 사례”라며 “KT의 관리 부실과 은폐 정황을 끝까지 규명하고 국민 피해 구제에 최선을 다하겠다”고 강조했다.
현재 민관합동조사단은 경찰·개인정보보호위원회·한국인터넷진흥원(KISA)과 협력해 압수된 불법 장비 포렌식 및 피해 규모 추가 검증을 진행 중이다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
