KT, 작년 서버 해킹 알고도 은폐…조사단 “엄중히 보고 있다”

6일 서울 종로구 KT 본사. 2025.11.06. 뉴시스

KT가 지난해 ‘BPFDoor(BPF도어)’ 등 악성코드 침해 사고가 발생한 사실을 파악하고도 당국에 신고하지 않은 것으로 드러났다. BPF도어는 올해 초 SK텔레콤(SKT) 해킹 사건 당시 이용된 악성코드 중 하나다. KT의 소형 기지국(펨토셀) 관리 체계도 전반적으로 부실했던 것으로 확인됐다. 정부는 이번 사건을 엄중하게 보고 있다며 후속 조치에 들어갈 전망이다.

과학기술정보통신부는 6일 KT 침해 사고 민관합동조사단의 중간 조사결과를 발표했다.

조사단은 우선 KT의 펨토셀 관리가 부실했다고 확인했다. KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용해 해당 인증서를 복사할 경우 불법 펨토셀도 KT망에 접속이 가능했다는 것이다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점도 발견했다.

조사단은 또 펨토셀 제조사가 펨토셀에 탑재되는 셀계정(셀ID), 인증서, KT 서버 인터넷 통신규약(IP) 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 줬고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것도 가능했다고 확인했다. KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았다. 펨토셀 제품 고유번호 등 형상정보가 KT망에 등록된 정보인지도 검증하지 않았다.

KT가 침해 사고를 은폐하거나 늦장 신고한 사실도 드러났다.

KT는 지난해 3월부터 7월까지 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했다. 하지만 정부에 신고 않고 자체적으로 조치했다.

조사단은 “동 사안을 엄중히 보고 있다”며 “사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획”이라고 했다. 이는 정보통신망법상 3000만 원 이하 과태료 부과 대상이다.

또 이번 무단 소액결제 사건과 관련해 지난 9월 1일 경찰로부터 해당 내용을 전달받고 불법 펨토셀 ID의 존재를 확인한 같은 달 8일에서야 침해사고를 지연 신고했다. 이 역시 정보통신망법상 3000만 원 이하 과태료 부과 대상이다.

조사단은 경찰과 협력해 검거된 무단 소액결제 피의자로부터 압수한 불법장비를 분석 중에 있다. 개인정보위원회와 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지 조사해 나갈 방침이다. 이와 함께 과기부는 KT 침해사고에 대한 최종 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획이다.

KT는 이날 조사 결과에 대해 “민관합동조사단의 중간 조사 결과를 엄중하게 받아들이며 악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고와 외부 보안 업체 점검을 통한 서버 침해 사실 인지 후 지연 신고한 사실에 대해 송구하다”고 밝혔다.