- 정부 조사 결과, KT 펨토셀 인증서 복제·암호화 해제 허용으로 해킹 가능
- KT 악성코드 감염 서버 43대 은폐·지연 신고 드러나, 수사의뢰 진행 중
KT 소액결제 해킹 사고의 중간 조사 결과가 11월 6일 민관합동조사단에 의해 발표됐다.
이번 사고는 소형 기지국(펨토셀)의 인증 관리 부실과 불법 펨토셀을 통한 내부망 침입에서 비롯된 것으로 파악됐다. 조사단은 KT가 '24년 8월 1일부터 '25년 9월 10일까지 약 4조 300억 건의 기지국 접속 기록과 1억 5천만 건의 결제 데이터를 분석한 결과, 불법 펨토셀 20대가 접속한 2만 2,227명의 가입자 IMEI, IMSI, 전화번호 등이 유출되었고, 368명이 2억 4,319만 원의 피해를 입은 사실을 밝혔다.
조사단은 KT의 펨토셀 인증서 관리 체계가 전반적으로 부실했음을 확인했다. 모든 펨토셀이 동일한 인증서를 사용하고 있었으며, 인증서 유효 기간이 10년으로 설정되어 불법 장비도 지속적으로 KT 망에 접속할 수 있었다. 또한, 관련 중요 정보를 외주 제작사에 보안 없이 제공하고, 비정상 IP 차단 조치 미흡, 장비 형상정보 검증 부재 등 보안 관리가 허술했다. 이로 인해 불법 펨토셀이 종단 암호화를 해제하고, ARS 및 SMS 인증 정보를 평문으로 탈취할 수 있었던 것으로 판단됐다.
더불어, KT는 '24년 3월부터 7월까지 악성코드(BPFDoor 등)에 감염된 서버 43대를 정부에 신고하지 않고 자체적으로 은폐하다가 이번 조사에서 드러났다. 이 서버에는 가입자 개인정보가 포함되어 있었다. 특히 KT는 9월 1일 경찰로부터 소액결제 발생 소식을 전달받고 5일 내부망 차단 조치를 했음에도 침해 사고를 8일에야 신고하는 등 지연 신고 사실도 확인됐다.
민관합동조사단은 KT가 조사 과정에서 서버 폐기 시점을 허위로 제출하고 관련 백업 로그를 은폐한 혐의로 수사를 의뢰했으며, 향후 디지털 증거 분석을 통해 보다 구체적인 보안 취약점과 사고 원인을 밝힐 예정이다. 정부는 이번 사건을 엄중하게 다루며 KT의 이용약관 위반 여부 등 법률 검토를 진행 중이다.
이번 사태는 대규모 고객 개인정보 유출과 금전 피해를 초래해 국내 통신 보안의 심각한 문제점을 드러냈으며, KT뿐 아니라 통신사 전반에 걸친 펨토셀 보안 관리 제고가 긴급히 요구된다.
