KT, 작년 서버 43대 악성코드 감염 알고도 은폐

합조단 “신고 않고 자체처리 확인”
감염서버에 가입자 개인정보 담겨
추가 조사뒤 수사의뢰 등 조치 계획

서울 KT 사옥 모습. 2025.11.6/뉴스1

불법 팸토셀(소형 기지국)을 활용한 무단 소액결제 사고를 수습 중인 KT가 지난해에도 악성코드 공격을 당했으며 KT는 이 사실을 당국에 신고하지 않고 은폐했던 것으로 확인됐다. 개인정보 등이 포함된 총 43대 서버가 감염됐지만 KT가 신고하지 않고 자체 처리한 사실이 정부 조사에서 뒤늦게 드러난 것이다.

민관합동조사단은 6일 중간조사 결과를 발표하며 “서버 포렌식 분석을 통해 지난해 3∼7월 KT에 BPF도어, 웹셀 등 악성코드 침해사고가 발생했으나, KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다”고 밝혔다. 올 4월 SK텔레콤 유심 해킹 사고 때에도 발견된 악성코드인 ‘BPF도어’는 침투 이후 수년간 서버에 숨어 있다가 해커가 특정 신호를 주면 작동하며, 주로 중국의 해커 집단이 활용하는 것으로 알려졌다.

KT는 작년 악성코드 감염 사실을 최근 불법 팸토셀 침해 사고 조사 과정에서도 정부에 보고하지 않다가 조사단이 KT 서버에서 백신이 사용된 흔적을 발견해 추궁하자 뒤늦게 관련 자료를 제출한 것으로 나타났다.

최우혁 과학기술정보통신부 네트워크 정책실장이 6일 오후 정부서울청사에서 민관합동조사단의 ‘KT 침해사고 중간 조사결과’를 발표하고 있다. 변영욱 기자 cut@donga.com

감염된 서버 중 일부 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 같은 정보가 저장돼 있는 것으로 확인됐다. 아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다.

다만 가입자 핵심 정보가 저장된 HSS 서버가 피해 대상에 포함됐는지와 개인정보 유출 규모, SK텔레콤 공격자와 동일인인지 등에 대해서는 조사가 더 필요한 상황이다. 감염 서버에 담긴 개인정보가 최근 무단 소액결제에 활용됐을 가능성도 남아 있다. 과학기술정보통신부는 “개인정보보호위원회와 함께 연계 가능성을 정밀하게 조사할 것”이라고 언급했다.

조사단은 KT의 이번 은폐 정황에 대해 “엄중히 보고 있다”며 “사실관계를 면밀히 밝히고 관계기관에 수사 의뢰 등 합당한 조치를 요청할 계획”이라고 밝혔다. KT는 이날 “민관합동조사단의 조사 결과를 엄중하게 받아들인다”며 “악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대한 지연 신고에 대해 송구하다”고 밝혔다.



장은지 기자 jej@donga.com