![[서울=뉴시스] 김근수 기자 = 16일 서울 시내의 KT 대리점 앞으로 시민이 지나가고 있다. KT 해킹 사건 민관 합동 조사에 따르면 KT가 범행에서 쓰인 것으로 파악한 기지국 아이디(셀 아이디) 4개 외에도 20개가량의 불법 기지국 아이디를 추가로 발견했다고 밝혔다. 피해자 수도 10명 이내로 추가 발견됐다. KT는 무단 소액결제 사건 피해자가 362명으로, 경찰은 지난 13일 기준 220명으로 집계하고 있다. 2025.10.16. ks@newsis.com /사진=김근수](https://thumb.mt.co.kr/cdn-cgi/image/f=avif/21/2025/11/2025110613403842573_1.jpg)
KT 무단 소액결제 사태와 관련해 해커가 불법 펨토셀로 ARS·SMS 인증정보를 탈취할 수 있는 것으로 나타났다.
6일 과학기술정보통신부 민관합동조사단은 정부서울청사에서 KT 침해사고에 대한 중간 조사결과를 발표했다.
KT는 지난 8일 무단 소액결제 피해자의 통화이력을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견해 한국인터넷진흥원(KISA)에 침해사고를 신고했다.
조사단은 이번 사고와 관련해 △불법 펨토셀로 인한 피해 현황 △KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점 △소액결제 인증정보(ARS, SMS) 탈취 시나리오 △과거 BPFDoor 등 악성코드 발견 및 조치 사실 △침해사고 신고 지연 등 법령 위반사항을 확인했다.
조사단은 중간 조사결과에서 KT의 일반적인 망 관리 실태 조사 및 테스트 환경에서의 검증을 통해 펨토셀 운영 및 내부망 접속 과정 상의 보안 문제점을 도출했다. 최종적으로는 무단 소액결제 피의자로부터 확보한 불법 장비 분석을 통해 추가적인 보안위협 요인을 파악하고 재발방지 대책을 마련해 발표할 계획이다.
KT는 통신기록이 남아있는 2024년 8월1일~2025년 9월10일 간 모든 기지국 접속 이력 약 4조300억건 및 모든 KT 가입자의 결제 약 1.5억건 등 확보 가능한 모든 데이터를 분석했다. 이를 통해 불법 펨토셀 20개에 접속한 2만2227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 및 전화번호 유출 정황이 확인됐다. 368명이 2억4319만원의 소액결제 피해를 봤다.
다만 지난해 8월1일 이전 피해 여부는 통신기록이 없어 파악이 불가능하다. 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다. 향후 조사단은 KT의 피해자 분석 방식 검증 및 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획이다.
조사 결과 KT의 펨토셀 관리 체계가 전반적으로 부실해 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경인 것으로 나타났다.
KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있어 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능했다. 또 KT 인증서의 유효기간이 10년으로 설정돼 한 번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있다. 펨토셀 제조사가 펨토셀에 탑재되는 셀ID, 인증서, KT 서버 IP 등 중요정보를 보안관리 체계 없이 펨토셀 제작 외주사에 제공했고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것도 가능했다.
더불어 KT는 내부망에서의 펨토셀 접속 인증과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않았다. 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해서도 검증하지 않았다.
이번 사태의 가장 큰 의문은 불법 팸토셀이 어떻게 무단 소액결제로 이어졌는지다. 소액결제를 하려면 성명, 생년월일, 성별 등 추가 개인정보가 필요해서다.
조사단에 따르면 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 인증정보(ARS, SMS)를 평문으로 취득할 수 있었던 것으로 보인다. 다만 무단 소액결제에 필요한 개인정보를 어떻게 확보했는지는 개인정보보호위원회와 협력해 추가 조사할 계획이다.
조사단은 불법 펨토셀을 통해 결제 인증정보 뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획이다.
KT는 지난 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받고, 5일 내부망에 무단 소액결제 관련 이상 패턴을 발견해 차단 조치했음에도 침해사고를 6일이 돼서야 신고했다. 침해사고 지연신고는 정보통신망법상 3000만원 이하 과태료 부과 대상이다.
과기정통부 관계자는 "KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사결과를 국민에게 투명하게 공개하겠다"며 "지금까지 확인된 사실관계 및 추후 밝혀질 조사결과를 토대로 법률검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획"이라고 말했다.