close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/IT 소식 · 2025. 12. 30. fullscreen 넓게보기

KT·LG유플러스 보안사고 최종결과

반응형

과기정통부 민관합동조사단 최종 발표를 바탕으로 KT 불법 펨토셀 악용 사고와 LG유플러스 조사 결과, 피해 규모, 악성코드 감염, 종단·구간 암호화 이슈, 그리고 기간통신망 보안 운영 원칙 재설계 필요성을 정리한다

KT·LG유플러스 보안사고 최종결과

KT·LG유플러스 보안사고 최종결과

과기정통부 민관합동조사단 최종 발표 내용을 중심으로, KT 불법 펨토셀 악용 사고와 LG유플러스 건의 결론, 그리고 기간통신망 보안 운영 원칙 재설계 필요성을 핵심만 정리했다.

핵심 요약

- KT 건은 불법 펨토셀 악용으로 소액결제 피해와 가입자 식별정보 유출이 확인됐다.
- LG유플러스 건은 유출 정황 확인에 한계가 있어 수사를 의뢰한 것으로 정리됐다.
- 단순 기술 조치보다 “기간통신망 보안 운영 원칙”을 운영·거버넌스·감사까지 포함해 재설계해야 한다는 지적이 핵심이다.

소액결제 피해

2억 4,300만원 (368명 / 777건)

식별정보 유출

2만 2,227명 (IMSI·IMEI·전화번호)

악성코드 감염

94대 서버 / 103종

KT 사건은 어떻게 드러났나

KT 사고는 9월 8일 소액결제 피해자의 통화기록 분석 과정에서, 등록되지 않은 불법 기기가 내부망에 접속한 사실을 KT가 확인하면서 수면 위로 올라왔다. 다음날인 9월 9일 정부가 조사단을 꾸리도록 했고, 펨토셀 운영 전반의 보안 실태 점검과 경찰 압수물 정밀 포렌식, 그리고 KT 전체 서버 약 3만3,000대 점검이 병행됐다.

- 서버 점검은 6차례에 걸쳐 확대 진행됐다.
- 감염 서버는 포렌식으로 정보유출 여부까지 확인하는 방식으로 범위가 넓어졌다.
- 이 과정에서 “기간통신망 보안 운영 원칙”이 현장에서 제대로 작동했는지에 대한 의문이 커졌다.

피해 규모와 ‘확인 불가’ 구간

최종 발표 기준으로 불법 펨토셀로 인해 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 2만2,227명 규모로 유출된 것으로 확인됐다. 무단 소액결제 피해는 368명(777건), 2억4,300만원으로 집계됐다.

- 통신결제 관련 데이터가 남아있지 않은 기간(2024년 7월 31일 이전)은 추가 피해 여부를 확인할 수 없다고 정리됐다.
- 로그 보관이 1~2개월 수준에 머무른 구간은 추적이 끊기기 쉬워, 보안 운영 원칙 자체를 재검토해야 한다는 근거로 작용했다.

서버 감염: BPFDoor·루트킷·웹셸까지

조사단 전수 점검 및 포렌식 결과, 총 94대 서버에서 악성코드 103종 감염이 확인됐다. 유형은 BPFDoor, 루트킷, 웹셸, 원격제어형 악성코드 등이 포함됐다.

- KT가 2024년 3~7월 감염 서버를 발견하고도 정부 신고 없이 자체 조치한 서버가 41대였다는 지적이 포함됐다.
- 이후 연계 서버 조사 과정에서 53대 서버 감염과 함께 루트킷 39종, 백도어 36종 등 추가 악성코드가 확인됐다고 정리됐다.

일부 감염 서버에 이름·전화번호·이메일 등 개인정보가 저장돼 있었지만, 로그가 남아있는 기간에는 유출 정황이 없었다고 밝혔다. 다만 “로그가 남지 않은 기간”은 확인 자체가 불가능하다는 점이 더 큰 리스크로 지목됐다.

공격의 핵심: 인증서 복제와 암호화 해제 가능성

압수된 불법 펨토셀 장비 포렌식 결과, KT망 접속에 필요한 인증서와 인증서버 IP 정보가 포함돼 있었고, 트래픽을 캡처해 제3의 장소로 전송하는 기능도 확인됐다고 발표됐다.

- 공격자는 불법 펨토셀에 인증서·서버 정보를 복사해 내부망에 접속한 뒤, 강한 전파를 방출해 단말을 붙게 만들고 전화번호·IMSI·IMEI 등을 탈취한 것으로 조사됐다.
- 탈취 정보와 ‘미상의 경로로 취득한 개인정보(성명, 생년월일, 휴대전화번호)’를 결합해 피해자를 선별하고, ARS·SMS 인증정보를 가로채 무단 소액결제를 유발한 것으로 판단됐다.

특히 원칙적으로 단말에서 코어망까지 종단 암호화(IPSec)가 유지돼야 하지만, 불법 펨토셀이 개입하면서 암호화 해제가 가능해져 ARS·SMS 인증정보가 평문으로 전송될 수 있었던 점이 확인됐다고 정리됐다. 이 대목은 기간통신망 보안 운영 원칙을 “장비·설정·감사·검증”까지 포함해 다시 세워야 한다는 주장과 직결된다.

펨토셀 관리 체계의 구조적 취약점

최종 결론은 “일회성 취약점”이 아니라, 펨토셀 도입·납품·운영 전 과정의 기본 통제가 연쇄적으로 약해졌다는 데 방점이 찍혔다.

발표에서 지목된 3가지 핵심

  • 모든 펨토셀이 동일 제조사 인증서를 사용해, 복사 시 정상 장비가 아니어도 망 접속이 가능해지는 구조
  • 인증서 유효기간이 10년으로 설정돼 장기간 접속이 가능한 구조
  • 내부망 인증 과정에서 비정상 IP 차단 및 형상정보(제품 고유번호·설치 지역 등) 일치 검증이 미흡
- 제조·외주 과정에서 셀ID·인증서·서버 IP 등 중요 정보가 보안관리 체계 없이 제공됐다는 지적이 포함됐다.
- 인증·제품등록 시스템을 방화벽 없이 운영하고, 로그 보관이 짧았다는 점도 반복적으로 지적됐다.

위약금 면제 판단과 제재 예고

정부가 KT 이용약관상 위약금 면제 규정 적용 가능성을 공식적으로 판단했다는 점도 파장이 컸다. 법률자문 5곳 중 4곳이 “KT 과실”과 “계약상 주된 의무 위반”을 근거로 적용 가능 의견을 냈고, 1곳은 정보 유출이 확인되지 않은 이용자까지 확대 적용은 어렵다는 견해를 제시한 것으로 정리됐다.

- 침해사고 신고 의무(인지 후 24시간 이내 신고 원칙) 미준수 정황에 대해 과태료 부과를 예고했다.
- 조사 과정에서 일부 자료 제출 지연 및 사실관계 제출 문제 정황이 확인돼 수사를 의뢰했다고 발표됐다.

재발방지 요구사항: ‘운영 원칙’ 수준의 재설계

정부는 2026년 1월까지 재발방지 이행계획을 제출받고, 4월까지 이행 여부를 점검한 뒤 6월까지 후속 점검을 진행하겠다고 밝혔다. 필요 시 시정조치 명령도 예고했다.

- 인증서 유효기간 단축 및 제품별 별도 인증서 발급
- 비정상 접속 차단, 형상정보 검증 강화, 인증서버 IP 관리 강화
- 시큐어 부팅 구현, 이상징후 모니터링과 탐지·차단 고도화
- 종단 암호화 해제 방지와 모니터링 강화
- 보안장비 도입, 로그 1년 이상 보관, EDR 확대
- 제로트러스트 도입, 분기 1회 이상 전 자산 취약점 점검
- CISO 중심 거버넌스 개편, CIO 지정, 자산관리 솔루션 도입
- 공급망 보안 및 SBOM 관리체계 구축
“통신사는 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다.”

결론적으로 이번 사건은 “기술 조치”만으로 끝낼 일이 아니라, 기간통신망 보안 운영 원칙을 공급망·자산·로그·관제·신고·조사 협조까지 포함하는 “경영 기본값”으로 재정의해야 한다는 메시지를 남겼다.

이미지 텍스트 추출: 통신사의 통신 암호화 체계

< 통신사의 통신 암호화 체계 > □ 통신 3사는 3GPP 표준 및 TTA 표준에 따라 암호체계 적용 o (구간 암호화) 통신패킷이 흐르는 경로의 암호화로, 무선, 인터넷 구간에 암호화(통신사 국사 내 신뢰구간에는 암호화 미적용) o (종단 암호화) 단말에서 코어망까지 통신데이터 자체를 암호화하는 것으로, 문자 및 음성 시그널링*에 대해 국사 내 코어망까지 암호화 * 통화 시 상대방 식별, 세션 연결·해제 등을 관리하는 정보 (도식 표기 요약) - 구간: 무선 구간 / 인터넷 구간 / 국사내 코어구간 - 구성: 단말 → 펨토셀(무선→유선) → 펨토셀 G/W → 코어망 - 범례: 평문 / 종단암호화 / 구간암호화

위 도식은 “구간 암호화”와 “종단 암호화”의 적용 범위를 구분해 보여준다. 이번 사고에서 쟁점이 된 부분은 불법 펨토셀 개입으로 인해 종단 암호화가 기대하는 수준으로 유지되지 못하고, 특정 구간에서 평문 전송 가능성이 열렸다는 점이었다. 결국 기간통신망 보안 운영 원칙은 “암호화 옵션”을 넘어, 장비 신뢰성·형상 검증·접속 통제·로그 보존·상시 모니터링까지 포함해야 한다.

정리

- 불법 펨토셀은 “가짜 장비” 문제가 아니라, 인증서·형상·운영 통제의 결합 문제로 확대된다.
- 로그 보관과 보안장비 부재는 사고 원인 규명과 피해 확인 자체를 어렵게 만든다.
- 기간통신망 보안 운영 원칙을 기술·운영·거버넌스 전 영역에서 재설계하지 않으면 동일 유형의 리스크는 반복될 수 있다.

2025.11.11 - [IT 소식 뉴스/IT 소식] - KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응

 

KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응

KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응 과학기술정보통신부 산하 민관합동조사단은 2025년 11월 6일 KT 침해사고 중간 조사결과를 발표했다. 이번 사건은 세 가지 축

one-day-growth.com

2025.10.29 - [IT 소식 뉴스/IT 소식] - KT, 개인정보 유출 피해자 대상 100GB 데이터·15만원 보상 제공 및 피해 조회

 

KT, 개인정보 유출 피해자 대상 100GB 데이터·15만원 보상 제공 및 피해 조회

KT, 개인정보 유출 피해자 대상 100GB 데이터·15만원 보상 제공 KT가 최근 발생한 소액결제 및 개인정보 유출 사고와 관련해 피해 고객을 대상으로 5개월간 100GB 무료 데이터 제공과 최대 15만원 상

one-day-growth.com

2025.10.30 - [IT 소식 뉴스/IT 소식] - KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재

 

KT 계열 알티미디어, 킬린(Qilin) 랜섬웨어 공격 대상 등재

KT 계열 알티미디어, 글로벌 랜섬웨어 조직 ‘킬린(Qilin)’ 공격 대상에 등재 KT 계열 미디어 솔루션 기업 알티미디어(Altimedia)가 글로벌 랜섬웨어 조직 ‘킬린(Qilin)’의 공격 대상 명단에 오른 것

one-day-growth.com

2025.10.28 - [IT 소식 뉴스/IT 소식] - LG유플러스까지 해킹 신고…SKT·KT 이어 통신3사 모두 당국 조사

 

LG유플러스까지 해킹 신고…SKT·KT 이어 통신3사 모두 당국 조사

LG유플러스까지 해킹 신고…SKT·KT 이어 통신3사 모두 당국 조사 LG유플러스가 23일 서버 해킹 피해를 한국인터넷진흥원(KISA)에 신고했다. SK텔레콤과 KT에 이어 LG유플러스까지 해킹 정황이 드러나

one-day-growth.com

2025.11.08 - [IT 소식 뉴스/IT 소식] - KT, 펨토셀 해킹 공식 사과 및 피해 고객 지원 대책 발표

 

KT, 펨토셀 해킹 공식 사과 및 피해 고객 지원 대책 발표

KT, 펨토셀 해킹 공식 사과 및 피해 고객 지원 대책 발표 KT가 최근 불거진 펨토셀 해킹과 악성코드 은폐 의혹에 대해 공식 사과하고, 피해 고객을 대상으로 위약금 면제·데이터 지원 등 실질적인

one-day-growth.com

 

반응형
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글

14만 대화로 본 챗GPT·클로드·제미나이·퍼플렉시티·그록 성능 차이  (0) 2026.01.03
2025 대한민국 사이버보안 결산: 12건 침해사고로 본 운영 보안의 경고  (1) 2026.01.02
윈도우11 하드웨어 가속 비트로커  (0) 2025.12.24
신한카드 개인정보 유출, 내부 직원 연루  (0) 2025.12.24
TCP_NODELAY가 기본인 이유  (0) 2025.12.24
IT 소식 뉴스/IT 소식 관련 글
더 보기

티스토리툴바