KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응

KT 펨토셀 해킹 사건 중간 조사결과 — 구조적 관리 부실과 정부 대응

과학기술정보통신부 산하 민관합동조사단은 2025년 11월 6일 KT 침해사고 중간 조사결과를 발표했다. 이번 사건은 세 가지 축으로 구분된다.

• 불법 펨토셀을 거점으로 한 소액결제 및 개인정보 유출
• KT 인증서 유출 정황(국가 배후조직 연계 가능성)
• 내부 서버 악성코드 감염 및 신고 지연·은폐 의혹

현재 수사 및 실험 검증이 병행 중이며, 최종 결과와 제재 방안은 추후 별도 발표될 예정이다.

1️⃣ 피해 규모 및 경위

조사단은 KT가 보관한 2024년 8월 1일~2025년 9월 10일 기간 동안의 기지국 접속 이력(약 4조 300억건)과 결제 이력(약 1억5천만건)을 전수 분석했다. 그 결과, KT망에 접속한 불법 펨토셀 20대가 확인되었으며, 이를 통해 2만 2,227명의 IMSI·IMEI·전화번호 유출 정황이 드러났다. 또한 368명이 총 2억4,319만원의 무단 소액결제 피해를 입은 것으로 집계됐다.

조사단은 테스트베드 실험을 통해, 불법 펨토셀 환경에서 종단 암호화 해제 후 ARS·SMS 인증정보가 평문으로 노출될 수 있음을 확인했다. 현재 문자·음성 인증 탈취 가능성에 대한 후속 검증도 진행 중이다.

2️⃣ 펨토셀 관리체계의 구조적 허점

조사단은 KT의 펨토셀 관리 체계를 “전반적으로 부실하다”고 평가했다. 주요 문제점은 다음과 같다.

• 납품된 모든 펨토셀이 동일 인증서를 사용
• 인증서 유효기간 10년 설정으로 장기 접속 가능
• 외주 제조 과정에서 셀ID·인증서·KT 서버 IP 등 중요정보가 무방비 제공
• 내부망 접속 시 타사·해외 IP 차단 미흡
• 형상정보(고유번호·설치지역) 검증 절차 부재

정부는 통신 3사의 신규 펨토셀 접속을 전면 제한하고, KT에는 인증서 유효기간을 10년 → 1개월로 단축하는 긴급 조치를 시행했다.

3️⃣ 내부 서버 악성코드 감염 및 신고 지연 의혹

조사 결과, KT는 2024년 3~7월 사이 BPFDoor·웹셸 등 악성코드에 감염된 서버 43대를 자체 확인하고도 정부에 신고하지 않았다. 일부 서버에는 고객의 성명·전화번호·이메일·IMEI 정보가 포함되어 있었다.

정보통신망법상 침해사고 인지 후 24시간 이내 신고 의무를 위반한 지연 사례로 지적되었으며, 정부는 신고 시점(9월 1일 경찰 통보 → 9월 5일 차단 → 9월 8일 신고)을 근거로 사실관계를 검증 중이다.

조사단 권고: 펨토셀 접속 시 유선 IP 외 모든 접근 차단, 형상정보 인증 강화, 제품별 인증서 개별 발급 의무화.

4️⃣ KT의 입장 및 조치

KT는 “분석 결과를 토대로 피해 경위를 재확인하고 사과한다”며 피해 고객 대상 위약금 면제 및 고객 안내 강화 방안을 발표했다. 그러나 정부는 제조·외주·인증 전 과정의 관리 부실 가능성을 이유로 독자 검증을 지속할 계획이다.

5️⃣ 남은 쟁점 및 향후 대응

• 불법 펨토셀 유통·운영의 배후 및 자금 흐름 규명
• KT 분석의 적정성과 누락 피해자 존재 여부
• 개인정보보호법 위반에 따른 행정 제재 범위
• 펨토셀 인증·접속 체계의 구조적 개편 이행 여부

정부는 통신사 전반의 펨토셀 인증·접속 체계를 재정비하는 즉시 조치를 시행했으며, KT는 향후 고객 보호와 인프라 보안 강화 계획을 지속 추진하겠다고 밝혔다.

이번 사건은 ‘불법 기지국 → 인증구간 개입 → 금전 피해’라는 공격 사슬과 통신 인프라 관리의 구조적 허점을 동시에 드러낸 대표적 사례로 평가된다.