[일문일답]"KT 미신고 악성코드 감염 서버는 펨토셀 관련 장비"

민관합동조사단, 중간 조사결과 발표

2025.11.06 오후 04:39

최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간조사 결과를 발표하고 있다. 2025.11.6/뉴스1 ⓒ News1 임세영 기자

(서울=뉴스1) 나연준 김민수 기자 = KT(030200)가 무단 소액결제 사태 발생의 원인으로 지목되는 펨토셀 관련 서버가 침해당한 사실을 파악하고도 제대로 대처하지 않은 것으로 드러났다.

KT 침해사고 민관합동조사단은 6일 오후 KT가 2024년 3월~7월 기간 BPFDoor, 웹셸 등 악성코드 감염서버(43대)를 발견했지만 정부에 신고하지 않고 자체적으로 조치한 것으로 파악했다고 밝혔다.

최우혁 과기정통부 네트워크 정책실장은 악성코드가 어떤 서버에 있었는지를 묻는 질문에 "펨토셀 관련 서버였다"며 "(KT가) BPFDoor 백신을 돌린 흔적을 찾았다"고 말했다.

조사단의 발표에 따르면 KT 역시 펨토셀 관련 서버에 악성코드가 심어지는 등 침해 사실을 인지했을 것으로 보인다. 하지만 펨토셀 관리 체계는 여전히 허술하게 운영됐다.

조사단에 따르면 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고, 해당 인증서를 복사하면 불법 펨토셀도 KT망에 접속이 가능했다. 또한 펨토셀 접속 인증 과정에서 비정상 IP 차단 및 검증 절차도 부실했던 것으로 나타났다.

다음은 조사단 관계자와의 일문일답.

-KT가 자체 처리했다고 한 악성코드가 어떤 서버에 있었나?

▶펨토셀 관련 서버였다. 조사단이 BPFDoor 백신을 돌린 흔적을 찾은 것이다.

-SK텔레콤 침해사고 당시 정부가 BPFDoor 등 관련해 KT에도 자체 전수 조사를 지시했었는데 이번에 또 발견됐다. 기업의 자체 조사 실효성 보완 방안이 있나?

▶포렌식을 하면서 BPFDoor를 발견한 것이 아니고 BPFDoor를 검출하는 백신을 돌린 흔적을 저희가 발견했다. 5월에 조사할 때는 이미 BPFDoor는 다 지워진 상태였다. 당시 조사와 연계성은 없다.

-악성코드에 감염된 43대 서버를 통해 무단 결제에 필요한 정보가 유출됐을 수 있나?

▶정밀하게 조사하고 확인이 필요한 지점이다. 현재로서 단정적으로 말씀드리기는 어렵다.

-SK텔레콤과 마찬가지로 BPFDoor 해킹이다. 핵심 서버가 뚫렸다거나, SK텔레콤처럼 가입자 전원 규모 정도의 정보 유출이 의심될 가능성도 있나?

▶조사단이 가능성을 가지고 이야기하면 상당한 혼란을 일으킨다. 이해해 주시면 좋겠다.

-현재까지 조사 과정에서 유심(USIM) 인증키 해킹은 없었나?

▶현재까지 조사된 사항에서 유심 복제에 필요한 인증키가 유출된 정황은 아직까지 발견되지 않았다.

-추가 피해자 앞으로 얼마나 더 나올 수 있는지 궁금하다.

▶KT가 2024년 8월 1일 이후 전체 기지국, 전체 결제 부분을 분석한 과정을 조사단이 검증했다. 다만 제대로 돌렸는지 다시 한번 돌려보면서 놓친 부분이 있는지 체크해서 찾아보겠다. 방대한 양이어서 시간이 조금 걸릴 것 같다.

-기지국 접속 이력이 없는데도 소액결제 피해가 확인됐다고 했다. 어떻게 가능했던 것인가?

▶기지국에 접속 기록이 없을 뿐이지 실제는 기지국에 붙었기 때문에 결제가 일어난 것이다. 접속 기록이 없더라도 결제 패턴, 불법 기지국의 위치 등을 고려해 최대한 식별을 해낸 것이다.

-종단 암호화 해제는 어떻게 가능했던 것인가.

▶이례적인 케이스다. 불법 펨토셀이 중간에서 스마트폰과 KT 코어망의 연결 중간에서 역할을 했기 때문이다. 종단 간 암호 설정하는 여러 과정 중에 불법 펨토셀이 개입해서 해제할 수 있는 상황을 만들 수 있는지 전문가 의견, 여러 테스트를 통해 확인했다.

-소액결제 범죄 원인을 펨토셀 해킹으로 보고 있는 것인가.

▶지금은 펨토셀을 메인으로 보고 있다. 모든 가능성은 열어놓고 있다.

-지금 시점에서 전체 이용자 대상 위약금 면제 가능성은 어떻게 보고 있나?

▶어느 정도 피해까지 특정하고 난 뒤에 판단할 수 있을 것 같다.

-KT 유심 교체 관련해서 (정부의) 권고가 있었는지 알고 싶다.

▶유심 교체는 각 사가 판단하는 영역이다. 정부의 권고가 있었던 부분은 없다.

-KT의 회피 정황이 드러나고 있는데 행정지도를 내릴 가능성은 없나?

▶국민들, 가입자들에게 피해가 가는 상황이 벌어지면 당연히 정부로서 엄중하게 조치에 들어갈 것이다.

yjra@news1.kr