KT 해킹 숨기고 결제정보까지 털렸다…정부 ‘역대급 제재’ 임박

2025. 11. 06 16:02 작성

yj.jo@lawtalknews.co.kr

'BPF도어' 서버 43대 감염 숨기고 '조용히 조치'

소액결제 피해 확산에 법적 책임 '정조준'

KT 침해사고 중간 조사결과 발표 / 연합뉴스

KT가 지난해 발생한 대규모 서버 해킹 사실을 은폐했다는 충격적인 정황이 드러났다.

민관 합동 조사단에 따르면, KT는 2024년 3월부터 7월 사이 BPF도어(BPFDoor)와 웹셸 등 은닉성이 강한 악성 코드에 서버 43대가 감염된 사실을 자체적으로 파악하고도 이를 당국에 신고하지 않고 '조용히 조치'한 것으로 확인됐다.

BPF도어는 올해 초 SKT 해킹 사례에서도 큰 피해를 준 악성 코드로, KT의 은폐 행위는 당국이 SKT 사태 이후 업계를 대상으로 실시한 전수조사 과정에서도 해킹 사실이 발견되지 않도록 한 결정적인 원인이 되었다.

조사단은 KT가 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장되어 있었다고 보고했다고 밝혔다.

불법 펨토셀의 치명적 허점: 결제 인증정보까지 평문으로 탈취

이번 조사를 통해 KT의 펨토셀(초소형 기지국) 관리에서도 심각한 보안 문제점이 드러났다. 펨토셀 관리 부실은 최근 불거진 무단 소액결제 사고의 핵심 원인으로 지목된다.

조사단은 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어, 이 인증서를 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었다는 점을 확인했다.

더욱이 인증서 유효기간이 10년에 달해 한 번이라도 KT 망에 접속한 이력이 있는 펨토셀은 지속적인 접속이 가능했던 것으로 드러났다.

또한, KT는 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 외주사에 제공했으며, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인하고 추출할 수 있도록 방치했다.

내부망 접속 인증 과정에서도 비정상 IP를 차단하지 않는 등 관리 소홀이 확인됐다.

특히, 불법 펨토셀을 장악한 자가 단말과 기지국 간 종단 암호화를 해제할 수 있었으며, 이로 인해 ARS, SMS 등 결제를 위한 인증정보를 평문(암호화되지 않은 상태)으로 얻어낼 수 있었던 치명적인 사실이 파악되었다.

조사단은 문자, 음성통화 탈취 가능성에 대해서도 추가 조사를 진행할 방침이다.

KT의 해킹 은폐와 구조적 보안 취약점은 법적 책임으로 이어질 전망이다. 변호사들의 법률 분석에 따르면, KT는 다음과 같은 법률 위반 사항에 해당한다.

이번 사건의 법적 쟁점은 단순 과실을 넘어선 '고의적 은폐 행위'와 '반복적 위반'이라는 점에서 과거 유사 사례보다 훨씬 강력한 처벌이 예상된다.

과거 SK커뮤니케이션즈(3,500만 명 유출)와 KT 통신자료 유출(1,200만 건 유출) 사건에서 약 30억 원 수준의 과징금이 부과된 사례가 있지만, 변호사들은 이번 사건의 중대성을 고려할 때 이보다 훨씬 높은 수준의 제재를 전망한다.

최종 예상 처벌 수준은 은폐 행위 가중을 반영하여 최소 50억 원에서 100억 원 이상의 과징금이 부과될 수 있으며, 중대성을 극단적으로 고려할 경우 수백억 원대까지 가능하다는 분석이다.

이와 별도로 개인정보 유출 피해자들의 집단 소송을 통해 수백억 원 이상의 민사상 손해배상 책임도 질 가능성이 높다.

정부가 이번 사안에 대해 "엄중히 보고 있다"며 "합당한 조치를 요청할 계획"이라고 밝힌 만큼, 이번 사건이 통신업계 전반에 경종을 울리는 강력한 제재 사례가 될지 귀추가 주목된다.

의견 보내기

나만 모르는 일상 법률 상식, 매일 아침 배달해드려요!