[비즈니스포스트] KT가 과거 악성코드에 의한 침해사고를 확인하고도 신고하지 않았던 것으로 확인됐다.
 
KT 침해사고 민관합동조사단은 6일 오후 2시 정부종합청사 서울본관 브리핑실에서 KT 침해사고 중간조사 결과를 발표했다.

조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 판단했다. 

또한 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.

KT에 악성코드 침해사고가 과거 발생했고, 이를 신고하지 않은 것으로도 파악됐다.

또한 조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생했으며 KT가 이를 신고하지 않고 자체 처리한 사실을 확인했다. 

KT는 2024뇬 3월부터 7월까지 기간 동안 BPFDoor, 웹셸 등 악성코드 감염 서버 43대를 발견하여 정부에 신고 없이 자체적으로 조치하고, 일부 감염서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장되어 있음을 조사단에 보고했다. 

조사단은 동 사안을 엄중히 보고 있으며, 사실관계를 면밀히 밝히고, 관계기관에 합당한 조치를 요청할 계획이다.

KT가 침해사고 신고를 지연한 사실도 확인했다.

KT는 2025년 9월1일에 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 내부망에 무단 소액결제 관련 이상 통신 호 패턴을 발견하여 차단 조치를 9월5일 오전 3시에 하였음에도, 불법 펨토셀 ID의 존재를 확인한 후인 2025년 9월8일 오후 7시16분에 침해사고를 지연신고했다.

서버 폐기와 관련해 정부 조사를 방해한 고의성이 있는 것으로 파악됐다.

미국 프랙 보고서에 언급된 국가배후 조직에 의한 KT 인증서 유출 정황과 관련해 KT는 8월1일에 관련 서버를 폐기했다고 KISA에 답변하였으나, 실제로는 8월1일(2대), 8월6일(4대), 8월13일(2대)에 걸쳐 폐기하는 등 폐기시점을 당국에 허위 제출했다. 

또한, KT는 폐기 서버 백업 로그가 있음에도 불구하고 9.18일까지 조사단에 이를 보고하지 않았다. 이에 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단하여, 형법 제137조(위계에 의한 공무집행방해)에 따라 10.2일 수사기관에 수사 의뢰했다.

KT는 외부 업체를 통한 보안점검 결과를 통해 2025년 9월15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인하였으나, 2025년 9월18일 23시57분에야 당국에 침해사고를 지연신고했다. 

향후 침해 관련 서버에 대한 포렌식 분석을 통해 사고 원인 및 KT의 보안 취약점을 도출할 계획이다. 조승리 기자