과기부, KT와 LGU+ 침해사고 최종 조사결과 발표

KT, 불법 펨토셀 접속 허용, 통신 암호화 해제, 정보보호 활동 미흡

"KT 침해사고, 위약금 면제 규정 적용 가능"

LGU+는 허위자료 제출 및 서버폐기로 확인 불가…경찰에 수사 의뢰

KT 침해사고와 관련해 정부가 KT의 총체적 보안 관리 부실로 판단했다. 불법 펨토셀 접속을 허용하고 통신 암호화 해제가 가능하도록 했으며 정보보호 활동도 미흡해 사태를 키웠다는 지적이다.

정부는 KT에 대해 정보통신망법 위반으로 과태료 부과 예고를 하는 한편, 조사 과정에서 고의로 자료를 은폐한 정황을 포착해 경찰에 수사를 의뢰했다. 아울러 KT의 과실이 명백한 만큼 전 고객이 위약금 면제 대상이 된다고 판단했다.

LG유플러스 역시 자료 유출 의혹 조사 과정에서 허위 자료를 제출하고 서버를 폐기하는 등 조사를 방해한 혐의로 경찰 수사를 받게 됐다.

불법 펨토셀·악성코드 복합 공격 확인

과학기술정보통신부는 KT, LGU+ 침해사고에 대한 민관합동조사단 조사 결과 및 KT의 이용약관상 위약금 면제 규정에 대한 검토 결과를 29일 발표했다.

조사단은 경찰이 피의자로부터 확보한 불법 펨토셀을 포렌식 분석한 결과, 해당 펨토셀에 KT망 접속에 필요한 KT 인증서 및 인증서버 IP 정보와 해당 셀을 거쳐가는 트래픽을 캡쳐해 제3의 장소로 전송하는 기능이 있음을 확인했다.

공격자는 먼저 불법 펨토셀에 KT의 펨토셀 인증서, KT 서버 IP 주소 정보를 복사해 KT 내부망에 접속했다. 그 후, 불법 펨토셀이 강한 전파를 방출하도록 해 정상적인 기지국에 접속했던 단말기가 불법 펨토셀에 연결되도록 유도하고 해당 셀에 연결된 피해자의 전화번호, IMSI, IMEI 등의 정보를 탈취했다.

공격자는 불법 펨토셀에서 탈취한 정보를 미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)와 결합해 피해자를 선정하고, 피해자의 개인정보로 상품권 구매 사이트를 접속해 상품권 구매 시도를 하고 피해자에게 전달되는 ARS, SMS 등 인증정보를 불법 펨토셀을 통해 탈취해 무단 소액결제를 한 것으로 정부는 판단했다.

웹셸 및 BPFDoor 악성코드의 경우 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 서버에 웹셸을 업로드하고 BPFDoor 등의 악성코드를 확산시킨 것으로 추정된다. 추정 감염 기간은 2022년 4월 2일부터 2024년 4월 19일이다.

루트킷, 백도어 등의 악성코드에 대해서는 감염 시점 당시 방화벽, 시스템로그 등 기록이 남아있지 않아 공격자의 침투 방법 등을 판단하는 것이 불가능했다. 추정 감염 기간은 2023년 3월 11일부터 2025년 7월 4일이다.

불법 장비 내부망 접속 가능 구조 드러나

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인했다.

먼저 KT에 납품되는 모든 펨토셀 제품이 동일한 제조사 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 정상 펨토셀이 아니더라도 내부망의 인증 서버로부터 KT 인증서를 받아 KT망에 접속이 가능함을 확인했다.

또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있는 문제점을 발견했다.

KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.

조사단은 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함을 확인했다.

조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 전면 제한(9월 10일)하는 한편, KT에 ▲펨토셀이 발급받은 통신사 인증서 유효기간 단축(10년→1개월, 9월 10일) ▲펨토셀이 KT 망에 접속 요구 시 KT 유선 IP 외에는 차단(9월 23일) ▲펨토셀이 KT 망에 접속 시 형상정보를 확인 및 인증(10월 3일∼) ▲펨토셀 제품별 별도 인증서 발급(11월 5일) 등을 조치토록 했다.

정부는 KT가 제조사가 펨토셀 생산 시 인증서, 통신사 인증 서버 IP, 셀ID에 대한 보안정책을 마련할 것을 요청했다.

또한 펨토셀의 시큐어 부팅 기능 구현, KT 인증서버 IP 주기적 변경 및 대외비 관리, 불법 펨토셀 접속에 대한 이상징후 모니터링 및 탐지·차단 등 기술적 조치를 취하고, 펨토셀 보안 취약점 발굴·조치를 위한 화이트해커와의 협력 등 지속적 관리체계를 구축·운영해야 한다고 주문했다.

KT 불법 펨토셀로 종단 암호화 무력화…일부 단말 SMS 평문 전송 확인

KT는 국제표준화기구(3GPP) 및 한국정보통신기술협회(TTA) 표준권고에 따라 단말과 펨토셀 간(무선망), 펨토셀과 통신사 국사 간(인터넷망)의 구간 암호화와 단말과 코어망 간 종단 암호화를 하고 있다.

그러나 통신 과정에서 종단 암호화가 해제되지 않아야 함에도 불구하고, 불법 펨토셀에 의해 암호화가 해제돼 결제 인증정보(ARS, SMS)가 전송됐다.

이에, 공격자가 불법 펨토셀에 접속한 피해자 통신의 종단 암호화를 해제해 평문의 정보가 단말과 코어망 간 통신이 가능하게 됐으며, 통신 트래픽 캡쳐가 가능한 불법 펨토셀에 평문의 문자, 통화 탈취도 가능한 것을 확인했다.

특히 일부 단말(아이폰 16 이하)의 경우, KT가 암호화 설정 자체를 지원하지 않아 문자 메시지(SMS)가 평문으로 전송되는 문제를 확인, KT 해당 단말에 대한 통신 연결 시 종단 암호화 지원을 조치토록 했다.

정부는 KT가 이용자 단말기부터 코어망까지 종단 암호화(IPSec)가 해제되지 않도록 설정하고, 종단 암호화 해제 여부 및 비정상 신호 트래픽 인입에 대한 모니터링을 강화할 것을 주문했다.

KT 보안 관리 전반 ‘낙제점’…정부, CISO 권한 강화 등 개선 주문

조사단은 이번 침해사고 조사 과정에서 KT가 보안점검 미흡, 보안장비 미비 및 로그 단기보관 등 기본적인 정보보호 활동이 미흡했던 점과, 거버넌스, 자산관리 등 전반적인 정보보호 활동이 체계적으로 이뤄지지 않는 사실도 확인했다.

KT는 자체 규정에 따라 시스템 로그 및 이벤트를 분석해 보안점검을 실시해야 하나, 보안점검 미흡으로 인해 악성코드 뿐만 아니라 쉽게 탐지가 가능한 웹셸도 발견하지 못했다.

이에 정부는 KT는 EDR, 백신 등 보안 솔루션 도입 확대, 제로 트러스트 도입, 분기별 1회 이상 모든 자산에 대해 보안 취약점 정기점검 및 제거 등 보안관리 강화를 해야 한다고 주문했다. EDR이란서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지·분석하는 도구를 말한다.

정부는 또한 KT가 펨토셀 인증 및 제품등록을 관리하는 시스템을 방화벽 등 보안장비 없이 운용하고 있어 외부 공격에 취약한 상태임을 확인했다.

아울러 운영 중인 시스템의 로그기록 보관기간이 1~2개월에 불과해 침해사고 최초 침투시점, 악성코드 감염방법 등 상세한 사고원인 파악을 조사하는데 한계가 있었다.

정부는 KT가 펨토셀 인증 및 제품등록을 관리하는 시스템에 방화벽 등 보안장비를 도입하고, 운영 시스템에 대한 로그기록을 최소 1년 이상 보관하는 한편, 중앙 로그 관리 시스템을 구축해 모니터링할 것을 주문했다.

거버넌스 체계도 미흡했다. KT는 정보통신망법 등에 따라 정보보호최고책임자(CISO)가 정보보호 관련 업무를 총괄해야 함에도, 보안 업무를 정보기술 부문, 네트워크 부문, 정보보안실로 구분해 조직별로 수행하고 있었다.

정부는 현재 CISO의 정보보호 인력·예산 편성권, 이사회에 정보 보호 현황 보고 등 권한을 강화하는 정보통신망법 개정이 진행 중인 상황을 고려해(2025년 12월 3일 법사위 통과), KT는 정보보호최고책임자(CISO)가 전사 정보보호 정책을 총괄 관리할 수 있도록 개편하고, 전사 차원의 중장기 보안 업무 계획을 수립할 것을 주문했다.

조사단은 KT 전체 서버 대상 악성코드 감염 여부를 조사하는 과정에서, 전체 자산 종류, 규모, 운용/유휴/폐기 여부 등 자산 이력이 체계적으로 관리되지 않고 있으며, 시스템 내 등록된 자산과 실물 간 정보도 불일치함을 확인했다.

이에 따라 전사 자산을 담당하는 정보기술 최고책임자(CIO)를 지정하고, 정보기술 자산관리 솔루션을 도입할 것을 요청했다.

조사단은 KT가 협력업체로부터 공급받는 펨토셀 장비에 대한 표준 보안 규격서 및 소프트웨어 패키지에 대한 SBOM 관리체계가 부재하고, 고객에게 유통된 펨토셀에 대한 실시간 자산 현황관리가 제대로 이뤄지지 않은 것도 확인했다. SBOM은 소프트웨어의 구성 컴포넌트에 관한 메타정보를 말한다.

따라서 펨토셀 도입 단계부터 납품, 구축·운영단계 전 과정에서의 하드웨어, 소프트웨어 공급망 보안 관리체계를 수립하고 관리할 것을 주문했다.

정부, '고의적 조사 방해' KT 수사 의뢰…미신고 제재 강화 등 제도 개선 추진

정부는 KT가 무단 소액결제 이상 통신패턴 조치, 외부 보안업체의 침해흔적 확인에도 뒤늦게 침해사고를 신고한 것과 지난해 BPFDoor 등 악성코드를 발견하고도 신고하지 않은 것에 대해 정보통신망법에 따라 과태료를 부과하기로 했다. 정보통신망법 제76조에 따르면 3000만원 이하 과태료가 부과된다.

또한 KT는 프랙 보고서에 제보된 침해 정황 서버와 관련해 8월 1일 서버를 폐기했다고 답변했으나, 조사단에 폐기 시점을 허위 제출(실제 : 8월 1일(2대), 8월 6일(4대), 8월 13일(2대))하고, 폐기 서버 백업 로그가 있음에도 불구하고 9월 18일까지 조사단에 이를 보고하지 않았다.

정부는 정부 조사를 방해하기 위한 고의성이 있다고 판단해 형법 제137조(위계에 의한 공무집행방해)에 따라 수사기관에 수사를 의뢰했다.

과기정통부는 이번 조사단의 조사결과를 토대로, KT에 재발방지 대책에 따른 이행계획을 제출(2026년 1월)토록 하고, KT의 이행(2026년 4월) 여부를 점검(2026년 6월)할 계획이다.

이행점검 결과, 보완이 필요한 사항에 대해서는 정보통신망법 제48조의4에 따라 시정조치를 명령할 계획이다. 또한, 고의적인 침해사고 미신고로 인한 피해 확산을 방지하기 위해 정보통신망법 개정을 통한 제재 강화 등 제도 개선을 추진할 계획이다.

정부 “KT 침해사고는 전 고객 대상 위약금 면제 사유”

과기정통부는 조사단의 조사결과를 바탕으로 법률 자문(5개 기관)을 진행했으며, 대부분 법률 자문 기관(4개 기관)에서는 이번 침해사고를 KT의 과실로 판단했고 펨토셀 관리부실은 전체 이용자에 대해 안전한 통신서비스 제공이라는 계약의 주요 의무 위반이므로, 위약금 면제 규정 적용이 가능하다는 의견을 제시했다.

다만 법률 자문기관 한 곳은 정보 유출이 확인되지 않은 이용자에게는 위약금 면제 규정 적용이 어렵다는 의견을 제시했다.

정부는 KT는 안전한 통신서비스 제공을 위한 펨토셀 관리와 관련해 일반적으로 기대되는 사업자의 주의의무를 다하지 못했을 뿐만 아니라 관련 법령을 위반했으므로 이번 침해사고에서 KT의 과실이 있는 것으로 판단했다.

과기정통부는 KT의 펨토셀 부실 관리로 인해 야기된 평문의 문자, 음성 통화 탈취 위험성은 소액결제 피해가 발생한 일부 이용자에 국한된 것이 아닌 KT 전체 이용자가 위험성에 노출됐던 것으로 판단했다.

KT는 침해사고를 대비해 적절한 보호조치를 통해 이용자에게 안전한 통신 서비스를 제공해야 할 계약상 주된 의무를 다하지 못한 것으로 봤다.

결론적으로, 과기정통부는 ▲이번 침해사고에서 KT의 과실이 발견된 점 ▲KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못한 점 등을 고려할 때, 이번 침해사고는 KT 전체 이용자를 대상으로 KT 이용약관상 위약금을 면제해야 하는 회사의 귀책사유에 해당한다고 판단했다.

KT 짧은 로그 보관 주기에 '추가 유출' 확인 한계

이번 사건은 8월 중 불법 펨토셀을 통한 무단 소액결제 발생에서 비롯됐다. 이후 KT는 지난 9월 8일 소액결제 피해자의 통화기록을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하고, 한국인터넷진흥원(KISA)에 침해사고를 신고했다.

과기정통부는 국민의 금전 피해 발생 등 사고의 중대성, 공격 방식에 대한 면밀한 분석이 필요하다고 판단해 다음날인 9일 조사단을 구성, 피해현황 및 사고원인 등을 조사했다.

조사단은 ▲불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 ▲익명의 제보에 따른 KT 인증서 유출 정황(프랙보고서, 8월 8일) ▲KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고원인 분석 및 재발방지 대책을 마련했다.

조사단은 KT가 지난 10월 17일에 발표한 피해 규모에 대한 산출 방법의 적절성 및 산출과정에서의 피해 누락 여부 등의 검증을 거쳐, 불법 펨토셀로 인한 침해사고로 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)이 무단 소액결제로 2억4300만원 규모의 피해가 발생하였음을 확인했다.

이는 KT가 산출한 피해 규모와 일치한다. 다만, 통신결제 관련 데이터가 남아있지 않은 기간(2024년 7월 31일 이전)에 대해서는 추가 피해 여부를 확인하는 것이 불가능했다.

조사단은 KT 전체 서버 점검 및 감염서버 포렌식을 통해 총 94대 서버에 BPFDoor, 루트킷 등 악성코드 103종이 감염됐을 확인했다.

KT가 2024년 3월~7월 기간에 감염서버를 발견했음에도 정부에 신고 없이 자체 조치한 악성코드 감염서버는 총 41대로, BPFDoor 4종, 웹셸 16종, 원격제어형 악성코드 6종 등 26종을 확인했다.

조사단은 SK텔레콤 침해사고 조사 당시(2025년 4월 20일~2025년 7월 4일) KT의 BPFDoor 감염 여부를 점검했으나, KT가 지난해 이미 악성코드 삭제 등 조치를 취해 BPFDoor 등의 악성코드가 발견되지 않았다.

또 KT가 자체적으로 실시한 외부업체 보안점검(2025년 5월 22일~9월 15일)에서 침해흔적이 발견됐다고 확인된 서버 및 이와 연계된 서버에 대한 조사단의 포렌식 과정에서 53대 서버 감염 및 루트킷 39종, 백도어 36종, 디도스 공격형 2종 등 77종의 악성코드를 확인했다.

이 중 루트킷은 BPFDoor와 같은 은닉형 악성코드로, 화이트해커가 프랙에 제보한 보고서에 언급된 바 있다. 확인된 악성코드 정보는 피해확산 방지를 위해 백신사, 경찰청, 국정원 등 주요 민간·공공기관에 즉시 공유하고, 악성코드 점검 가이드를 보호나라 누리집을 통해 배포했다.

정보유출과 관련해 조사단은 일부 감염서버에 개인정보(이름, 전화번호, 이메일 등)가 저장돼 있으나, 정밀 분석 결과 로그기록이 남아있는 기간에는 유출 정황이 없는 것을 확인했다.

다만 KT는 서버 내부 파일접근 및 실행, 오류 등 동작을 기록하는 시스템로그 보관 기간이 1~2개월에 불과하고 주요 시스템에 대해 방화벽 등 보안장비 없이 운영해 로그 분석에 한계가 있었으며, 로그기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했다.

LG유플러스 자료 유출 확인…조사 방해 의혹으로 경찰 수사 의뢰

한편 KISA는 익명의 제보자로부터 LGU+의 자료 유출 관련 정보를 7월 18일 입수하고 다음날 LGU+에 관련사항을 공유하고 침해사고 신고를 안내했다.

과기정통부(KISA)는 자체 조사단을 구성해 8월 25일부터 LGU+의 현장 조사를 실시했고, 이후 LGU+가 10월 23일 KISA에 침해사고를 신고한 후 조사단(10월 24일~)을 구성·운영했다.

익명의 제보자가 유출됐다고 주장한 LGU+의 통합 서버 접근제어 솔루션(APPM)과 연결된 정보(서버목록, 서버 계정정보 및 임직원 성명)는 조사결과 실제 LGU+에서 유출된 것으로 확인됐다.

APPM은 시스템 계정의 패스워드를 주기적 일괄변경 및 관리하고 사용자에게 패스워드를 자동 생성/발급하는 통합 패스워드 관리 솔루션이다.

조사단은 LGU+에서 제출받은 APPM 서버에 대해서 정밀 포렌식 분석을 진행한 결과, 익명의 제보자가 공개한 LGU+의 자료와 상이함을 확인했다. 자료가 유출됐을 것으로 추정되는 또 다른 APPM 서버는 운영체제 업그레이드(8월 12일) 등의 작업이 이뤄져 침해사고 흔적을 확인할 수 없는 상황임을 확인했다.

또 익명의 제보자는 공격자가 LGU+에 APPM 솔루션을 제공하는 협력사를 해킹한 후 LGU+에 침투했음을 주장했다.

조사단은 이 주장에 대해서도 확인을 시도했으나, 협력사 직원의 노트북에서부터 LGU+의 APPM 서버로 이어지는 네트워크 경로상의 주요 서버 등이 모두 OS 재설치 또는 폐기(8월 12일~9월 15일)돼 조사가 불가능한 상황임을 확인했다.

조사단은 LGU+의 관련 서버의 OS 재설치 또는 폐기 행위가 KISA가 침해사고 정황 등에 대해 안내한(7월 19일) 후에 이뤄진 점을 고려할 때, 이를 부적절한 조치로 판단하고 위계에 의한 공무집행 방해로 경찰청에 수사의뢰(12월 9일)했다.

이에 대해 LG유플러스는 공식 입장문을 통해 "경찰 수사에 성실히 임하겠다"고 밝혔다.

배경훈 부총리는 “이번 KT, LGU+ 침해사고는 SK텔레콤 침해사고에 이어, 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안”이라며 “기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다”고 강조했다.

이어 “정부도 대한민국이 AI 3대 강국으로 도약하기 위해 정보보호가 반드시 뒷받침돼야 한다는 점을 인식하고 정보보호 역량을 고도화하는데 최선을 다하겠다”며 “국민들이 혁신적인 AI 서비스를 안심하고 누릴 수 있는 환경을 만들도록 노력하겠다”고 밝혔다.

©(주) 데일리안 무단전재 및 재배포 금지

• 김종철 방미통위 위원장, 취임 후 첫 현장 행보… 온라인피해·불법스팸 점검
• KT “침해사고 조사 결과 엄중히 수용…고객 보상안 곧 발표”
• 남부발전, 'K-발전터빈' 안동복합 2호기 안착…에너지 자립 가속화
• 삼성물산 홈플랫폼 ‘홈닉’, 주차관제 기업과 업무협약 체결
• 코스피 장중 4200선 돌파…11월 4일 이후 처음