최근 과학기술정보통신부가 꾸린 KT 침해 사고 민관합동조사단이 KT 침해 사고에 대한 중간 조사 결과를 발표했습니다. 이번 발표는 KT의 펨토셀 관리 체계가 전반적으로 부실했고, KT가 과거 악성코드 감염 사실을 발견하고도 신고하지 않은 것으로 나타났다는 점에서 큰 충격을 주고 있습니다.
KT 침해 사고 개요
KT 침해 사고는 2025년 9월경 무단 소액결제 사고가 발생하면서 시작되었습니다. 경찰로부터 무단 소액결제 발생 사실을 통보받은 KT는 9월 5일 차단 조치를 취했지만, 불법 펨토셀 ID를 확인한 후인 9월 10일에야 본격적인 조치를 취했습니다. 이 과정에서 KT의 펨토셀 관리 체계 부실과 과거 악성코드 감염 사실 미신고 문제가 드러났습니다.
펨토셀 관리 체계 부실
KT의 펨토셀 관리 체계는 전반적으로 부실했습니다. 민관합동조사단의 조사 결과, KT의 19만여 개 펨토셀이 모두 동일한 인증서를 사용하고 있었습니다. 이로 인해 하나의 펨토셀 인증서만 탈취해 복사하더라도 불법 무선 장비가 KT망에 연동될 수 있었습니다. 단말기와 코어망 구간의 암호화가 해제되어 ARS, 문자 인증 정보 탈취가 가능했습니다.
펨토셀 인증서 문제
- 19만여 개 펨토셀이 동일한 인증서 사용
- 하나의 인증서 탈취로 불법 무선 장비 KT망 연동 가능
- 단말기와 코어망 구간 암호화 해제로 ARS, 문자 인증 정보 탈취 가능
악성코드 감염 사실 미신고
KT는 2024년 43개 서버에서 악성코드가 발견된 사실을 알고도 신고하지 않았습니다. 이는 과거에도 침해사고가 발생했을 가능성을 시사합니다. 정부는 KT의 허위·지연 신고에 대해 사법 처리 방침을 밝히고, 위약금 면제도 적극 검토하기로 했습니다.
악성코드 감염 서버
- 2024년 43개 서버에서 악성코드 발견
- KT가 신고하지 않음
- 과거 침해사고 가능성 시사
정부의 대응과 조치
정부는 KT의 허위·지연 신고에 대해 사법 처리 방침을 밝히고, 위약금 면제도 적극 검토하기로 했습니다. 민관합동조사단은 추가 피해 가능성을 제기하며, 통신기록이 남아 있지 않은 2024년 8월 1일 이전 피해에 대해서는 파악이 불가능하다고 밝혔습니다. 기지국 접속 이력이 남지 않은 소액결제 피해가 일부 확인되어, 소액결제 해킹이 이전부터 발생했을 가능성이 제기되었습니다.
정부의 대응
- KT의 허위·지연 신고에 대해 사법 처리 방침
- 위약금 면제 적극 검토
- 추가 피해 가능성 제기
- 통신기록 미파악 피해
피해 규모와 추가 조사
KT는 자체 조사 결과 368명이 총 2억4319만 원의 소액결제 피해를 입었다고 발표했습니다. 그러나 통신기록이 남아 있지 않은 2024년 8월 1일 이전 피해에 대해서는 파악이 불가능했습니다. 조사 결과, 기지국 접속 이력이 남지 않은 소액결제 피해가 일부 확인되어, 소액결제 해킹이 이전부터 발생했을 가능성이 제기되었습니다. 조사단은 추가 조사를 거쳐 최종 피해 규모를 확정할 예정입니다.
피해 규모
- 368명, 총 2억4319만 원 소액결제 피해
- 2024년 8월 1일 이전 피해 파악 불가
- 기지국 접속 이력 미파악 피해
- 추가 조사로 최종 피해 규모 확정 예정
KT의 대응과 책임
KT는 무단 소액결제 사고 발생 후 9월 5일 차단 조치를 취했지만, 불법 펨토셀 ID를 확인한 후인 9월 10일에야 본격적인 조치를 취했습니다. 이 과정에서 KT의 펨토셀 관리 체계 부실과 과거 악성코드 감염 사실 미신고 문제가 드러났습니다. KT는 전 고객 대상 유심 교체를 시행하고, 해킹 후속조치를 진행 중입니다.
KT의 대응
- 9월 5일 차단 조치
- 9월 10일 불법 펨토셀 ID 확인 후 본격 조치
- 전 고객 대상 유심 교체 시행
- 해킹 후속조치 진행 중
향후 전망과 시사점
KT 침해 사고는 통신사의 보안 관리 체계 부실과 과거 침해사고 미신고 문제를 드러냈습니다. 정부의 엄정한 조사와 사법 처리 방침, 위약금 면제 검토 등이 진행되고 있으며, 추가 조사를 통해 최종 피해 규모를 확정할 예정입니다. KT는 전 고객 대상 유심 교체와 해킹 후속조치를 진행 중이며, 향후 보안 관리 체계 강화가 필요합니다.
관련 영상
“KT, 작년 서버 해킹 알고도 은폐 정황…엄중 조치”
— 최우혁 / 과기정통부 네트워크정책실장
“`