KT 침해사고 중간조사 결과

안녕하십니까? KT 침해사고 민관합동조사단장인 과학기술정보통신부 네트워크실장 최우혁입니다.

지금부터 KT 침해사고에 대한 민관합동조사단의 중간조사 결과를 말씀드리겠습니다.

지난 9월 8일, KT는 소액결제 피해자의 통화이력을 분석한 결과 KT에 등록되지 않은 불법 기기가 내부망에 접속한 사실을 발견하여 한국인터넷진흥원에 침해사고를 신고하였습니다.

과기정통부는 이번 침해사고가 국민들에게 금전 피해가 발생하였고, 공격 방식에 대한 면밀한 분석이 필요하다고 판단하여 9월 9일부터 민관합동조사단을 구성하여 운영 중에 있습니다.

조사단은 불법 펨토셀에 의한 소액결제 및 개인정보 유출사고 및 프랙보고서에 언급된 국가 배후 조직에 의한 KT 인증서 유출 정황, KT가 외부업체를 통한 보안점검 과정에서 발견한 서버 침해사고 등 3건에 대한 조사를 통해 KT의 보안 문제점 등 사고원인을 분석하였습니다.

조사단은 경찰과 함께 피해자로부터 확보한 불법 장비에 대한 분석도 병행하고 있으나 다소 시간이 소요되는 상황으로 현재까지 확인한 주요 사항 및 진행 현황에 대해 국민 여러분께 투명하게 알려드리고자 중간조사 결과를 발표하게 되었습니다.

먼저, 불법 펨토셀에 의한 소액결제 및 개인정보 유출사고에 대한 중간조사 결과를 말씀드리겠습니다.

조사단은 불법 펨토셀로 인한 피해 현황, KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점, 소액결제 인증정보 탈취 시나리오, 과거 BPFDoor 등 악성코드 발견 및 조치 사실, 침해사고 신고 지연 등 법령 위반사항 등을 확인하였습니다.

먼저, 불법 펨토셀로 인한 피해 현황입니다.

조사단은 이번 침해사고로 인한 피해자를 빠짐없이 파악하기 위해 KT에 피해 조사 대상 확대 및 분석 방식을 개선할 것을 지속적으로 요구하였습니다.

이에 KT는 통신기록이 남아있는 2024년 8월 1일부터 2025년 9월 10일 간 KT의 모든 기지국 접속 이력 약 4조 300억 건과 모든 KT 가입자의 결제이력 약 1억 5,000만 건 등의 확보 가능한 모든 데이터를 전수 분석하였습니다.

이를 통해 KT는 불법 셀 20개에 접속한 2만 2,227명 가입자 식별번호, 단말기 식별번호 및 전화번호 유출 정황을 확인하였으며, 368명, 2억 4,319만 원의 소액결제 피해가 있었음을 지난 10월 17일 발표하였습니다.

다만, 통신기록이 없는 2024년 8월 1일 이전의 피해에 대해서는 파악이 불가능하였으며, 적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었습니다. 조사단은 KT의 피해자 분석 방식이 적정했는지 검증하는 한편, 누락된 피해자 존재 여부를 확인한 후 최종 피해 규모를 발표할 계획입니다.

둘째, KT의 펨토셀 관리 및 내부망 접속 인증 관련 문제점입니다.

조사단은 KT의 펨토셀 관리 체계가 전반적으로 부실하여 불법 펨토셀이 KT 내부망에 쉽게 접속할 수 있는 환경이었음을 확인하였습니다.

먼저, KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하여 해당 인증서를 복사하는 경우 불법 펨토셀도 KT망에 접속이 가능함을 확인하였습니다.

또한, KT 인증서의 유효기간이 10년으로 설정되어 1번이라도 KT망에 접속한 이력이 있는 펨토셀은 지속적으로 KT망에 접속할 수 있었습니다.

다음으로, 펨토셀 제조사가 펨토셀에 탑재되는 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 펨토셀을 제작하는 외주사에 제공하였고, 펨토셀 저장 장치에서 해당 정보를 쉽게 확인 및 추출하는 것이 가능함을 확인하였습니다.

아울러, KT는 내부망에서의 펨토셀 접속 인증 과정에서 타사 또는 해외 IP 등 비정상 IP를 차단하지 않고 있었고, 펨토셀 제품 고유번호, 설치 지역정보 등 형상정보가 KT망에 등록된 정보인지 여부에 대해 검증하지 않았습니다.

조사단은 불법 펨토셀 접속 차단을 위해 통신 3사의 신규 펨토셀 접속을 9월 10일부로 전면 제한하는 한편, KT의 펨토셀이 발급받은 통신사 인증서 유효기간을 10년에서 1개월로 단축하고, 펨토셀이 KT망에 접속 요구 시 KT 유선 IP 외에는 차단하는 한편, 펨토셀이 KT망에 접속 시 형상정보를 확인 및 인증토록 하고, 펨토셀 제품별로 별도 인증서를 발급하도록 조치하였습니다.

셋째, ARS, SMS 등 소액결제 인증정보 탈취 시나리오입니다.

KT는 국제표준화기구인 3GPP, 한국정보통신기술협회의 표준권고에 따라 단말과 기지국 간 구간 암호화, 단말과 코어망 간 종단 암호화를 하고 있습니다.

그러나 조사단은 전문가 의견 청취, KT 통신망 테스트베드 실험 등을 통해 불법 펨토셀을 장악한 자가 종단 암호화를 해제할 수 있었고, 종단 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 인증정보를 평문으로 취득할 수 있었던 것으로 판단하였습니다.

조사단은 불법 펨토셀을 통해 결제 인증정보뿐만 아니라 문자, 음성통화 탈취가 가능한지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사해 나갈 계획입니다.

넷째, BPFDoor 등 악성코드 발견 및 조치 사실입니다.

조사단은 서버 포렌식 분석 등을 통해 과거 KT에 BPFDoor 등 악성코드 침해사고가 발생하였으며 KT가 이를 신고하지 않고 자체 처리한 사실을 확인하였습니다. KT는 2024년 3월부터 7월간 BPFDoor, 웹셸 등 악성코드에 감염된 서버 43대를 발견하였으며, 일부 감염 서버에서 성명, 전화번호, 이메일 주소, 단말기 식별번호 등의 정보가 저장되어 있음을 조사단에 보고하였습니다. 조사단은 동 사안을 엄중히 보고 있으며 사실관계를 면밀히 밝히고 관계기관에 합당한 조치를 요청할 계획입니다.

다섯째, 침해사고 신고 지연 관련입니다.

KT는 2025년 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생을 전달받았으며, 9월 5일 새벽 3시에 무단 소액결제 관련 이상 통신 호 패턴을 발견하여 차단 조치하였습니다. 그러나 KT는 불법 펨토셀 ID의 존재를 확인한 후인 9월 8일 19시 16분에 당국에 침해사고를 지연 신고하였습니다.

이는 정보통신망법상 침해사고 인지 후 24시간 이내 신고를 해야 하는 의무를 위반한 것으로 3,000만 원 이하 과태료 부과 대상입니다.

다음으로, 8월 8일 미국 프랙보고서에 언급된 국가 배후 조직에 의한 KT 인증서 유출 정황 건에 대해 말씀드리겠습니다.

KT는 한국인터넷진흥원에서 2025년 8월 10일 자료 제출 요구 시 8월 1일에 관련 서버를 폐기했다고 답변하였습니다. 그러나 실제로는 8월 1일 2대, 8월 6일 4대, 8월 13일 2대의 서버를 폐기하는 등 폐기 시점을 당국에 허위 제출하였습니다.

또한, KT는 폐기 서버 백업 로그가 존재함에도 9월 18일까지 이를 조사단에 보고하지 않았습니다. 조사단은 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단하고 형법 제137조에 따라 10월 2일 수사기관에 수사를 의뢰하였습니다.

마지막으로, KT가 외부업체를 통한 보안점검에서 발견한 서버 침해사고 건에 대해 말씀드리겠습니다.

KT는 외부업체를 통한 보안점검 결과를 통해 2025년 9월 15일 KT 내부 서버에 대한 침해 흔적이 있는 것을 확인하였으나, 9월 18일 23시 57분에 당국에 침해사고를 신고하였습니다.

이는 정보통신망법상 침해사고 인지 후 24시간 이내 신고를 해야 하는 의무를 위반한 것으로 3,000만 원 이하 과태료 부과 대상입니다.

조사단은 추가로 침해사고 관련 서버 분석 등을 통해 서버 침해사고 원인 및 KT의 보안 취약점을 확인할 계획입니다.

조사단은 경찰과 협력하여 무단 소액결제 피의자로부터 압수한 불법 장비를 분석 중에 있으며, 개인정보보호위원회와 협력하여 무단 소액결제에 필요한 개인정보를 어떻게 확보하였는지 조사해 나갈 계획입니다.

과기정통부는 KT 침해사고에 대한 엄정한 조사를 거쳐 최종 조사 결과를 국민들께 투명하게 공개하는 한편, KT의 펨토셀 관리상 문제점, 과거 악성코드 발견 등 지금까지 확인된 사실관계 및 추후 밝혀질 조사 결과를 토대로 법률 검토를 거쳐 KT의 이용약관상 위약금 면제 사유에 해당하는지 여부를 발표할 계획입니다.

이상으로 KT 무단 소액결제 침해사고 관련 브리핑을 마치겠습니다. 추가로 설명이 필요한 부분은 질의응답을 통해 답변드리겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 저는 악성코드 발견된 것과 관련해서 질문드릴게요. 정리하면 KT는 1년 반 전에 서버에서 악성코드를 발견했지만 신고하지 않았고 자체 처리했다는 건데, 이 자체 처리가 구체적으로 어떤 행위를 말하는지 설명 부탁드립니다.

악성코드를 지운 건지, OS를 재설치한 건지, 서버를 폐기한 건지 말씀 주시고, 여쭤보는 이유는 지난번 SKT 때 같이 조사했지만 그때 발견이 안 됐잖아요. 그런데 이번에 발견이 됐다면 이런 자체 조치 행위 때문에 발견이 안 되거나 늦어진 건지 해서 확인차 여쭤보고요.

'자체 조치'라는 표현을 쓰고는 있지만 이제 KT가 알린 게 아니라 민관합동조사단이 찾아낸 거잖아요. 그러면 이거는 명백한 은폐 행위라고 생각이 되는데 이에 대한 과기부의 입장이 궁금합니다.

<답변> 마지막에 말씀하신 것처럼 지금 이거는 KT가 밝힌 게 아니고 저희가 조사하는 과정에 포렌식을 하면서 발견한 사항입니다. 그래서 지금 상태에서 아까 말씀하신 것처럼 서버 폐기나 이런 부분들은 조사가 필요합니다. 사실 최근에 저희가 인지를 했고, 포렌식 과정에서. KT에다가 자료 요청을 했고. 지금 저희가 KT에서 보고를 받았다고 표현을 했습니다. 아직은 조사를 다 해봐야 됩니다. 그리고 서버도 포렌식을 다 해봐야 되는 과정입니다.

참고로 말씀드리면 SKT 조사 과정에서도 저희가 2022년도에 침해사고가 있었던 거를 갖다가 자체 처리한 거를 포렌식 과정에서 발견한 과정이 있었습니다. 이거는 서버들을 저희가 조금 더 분석하고 난 뒤에 말씀을 드리도록 하겠습니다. 또 말씀...

<질문> 안녕하세요? 지금 이 KT가 자체 처리했다고 한 이 악성코드가 어떤 서버에 있었는지, 정부에서 파악하고 있는 악성코드의 종류와 속... 수가 있다면 공유 부탁드리고요.

그리고 오늘 발표 내용을 보면 이번 소액결제 범죄의 원인을 펨토셀 해킹으로 두고 보고 계신 것 같은데 여전히 제3의 가능성도 열어두고 계신지 궁금합니다.

그리고 마지막으로, SK텔레콤 사이버 침해사고 당시 나왔던 BPFDoor 등에 대해서 다시 정부가 그때 당시 KT와 LG유플러스에도 자체 전수조사를 지시한 바 있었는데요. 이번에 KT 서버에서 또 나왔다면 사실상 자체 전수조사에 문제가 있었다고 봐야 되는데, 정부가 이러한 차원에서 기업 자체 조사에 대한 실효성 보완 방안이나 또 이번 건에 대해서 어떻게 조치를 하실 계획이 있다면 공유해 주시면 감사하겠습니다.

<답변> 세 번째 것부터 말씀을 드리겠습니다. KT 이번에 저희가 발견하게 된 과정을 갖다가 조금 설명을 드려야 될 것 같은데요. 포렌식을 하면서 저희가 BPFDoor를 발견한 게 아니고요. BPFDoor는 지워져 있었고 BPFDoor를 갖다가 검출하는 스크립트를 돌리는, 그러니까 백신을 돌린 흔적을 저희가 발견을 했습니다.

그래서 백신을 돌린 흔적을 발견해서 이게 무슨 상황이냐, 라고 저희가 물어보니까 그 당시의 자료들이 이제 올라오기 시작한 겁니다. 그래서 지금 말씀하신 5월에 조사를 할 때는 이미 BPFDoor는 다 지워진 상태고, 없는 게 당연하다고 보시는 게 맞을 것 같고요. 그 조사하고 연계성은 없습니다.

첫 번째 물어보신 게 서버가 어떤 서버냐? 펨토셀 관련된 서버였습니다. 그걸 갖다가 보면서 저희가 아까 말씀드렸듯이 백신, 스크립트라고 저희 표현을 하는데 전문적으로는 BPFDoor 스크립트를 돌린 흔적을 찾았던 것입니다. 그래서 이거는 다 구체적인 서버 대수 지금 43대도 있고 이런 부분들은 SKT 사례들처럼 저희가 공개할 수 있는 부분들은 나중에 최종 결과 다 분석하고 난 뒤에 보고를 드리도록 하겠습니다.

그다음에 소액결제에 대한 문제점으로 보는 부분은 지금 주력은 펨토셀을 갖다가 메인으로 보고 있습니다. 그렇지만 조사는 항상 모든 가능성은 열어놓고 있습니다. 그런데 가능성이 가장 높은 건 지금 펨토셀로 보고 있습니다.

<질문> 지금 KT 같은 경우에는 악성코드 43대를 발견했으나 정부에 신고하지 않았고 그다음에 지난번에도 경찰 조사를 의뢰한 걸로 알고 있는데, 그러면 KT가 받을 수 있는 가장 징계라고 해야 되나, 조치가 어떤 건지 말씀을 해주셨으면 감사... 지금까지 확인된 거에서 KT가 잘못을 했는데 해킹도 당하고 신고하지도 않고 은폐 의혹도 있고 그런데 가장 세게 처벌할 수 있는 게 무엇인지 첫 번째로 궁금하고요.

그리고 위약금 면제에 대해서 지금 시점에서 어떻게 보고 계신지, 로펌에 언제쯤 의뢰를 할 것인지 또는 지금 상황에서 위약금, 전체 이용자 대상으로 위약금 면제 과연 가능할지, 어떻게 보고 계신지 말씀해 주시면 감사하겠습니다.

<답변> 먼저 위약금 면제부터 말씀을 드리면 아까 브리핑도 그렇고 보도자료에도 나와 있으시겠지만 저희가 조사를 어느 정도 더 확인한 후에 SKT처럼 법률 자문을 적정 시점에 저희가 받아서 최종적으로 말씀드릴 수 있을 것 같습니다. 그러니까 조사를 더 하고서 문제가 되는 부분, 플러스 어느 정도의 피해 부분까지 저희가 특정하고 난 뒤에 판단할 수 있을 것 같습니다. 그건 그렇고요.

그다음에 KT 같은 경우 지난번에 저희가 서버 폐기 건과 관련해서 수사 의뢰한 부분이 있는데 그거는 저희 법상으로는 미신고에 따른 과태료밖에 없지만 형법상으로 지금 저희가 문제제기를 한 거라서 수사 의뢰 이후에는 형법상 처벌이 있으며, 거기에 따른 것으로 저희가 알고 있습니다.

혹시 구체적으로 알고 있나?

<답변> (관계자) 참고로 KT 프랙보고서 관련된 서버 폐기 건과 관련해서는 저희가 경찰에 수사를 의뢰할 때 형법상에서 위계에 의한 공무집행 방해를 들어서 경찰에 수사 의뢰를 한 바 있습니다.

<질문> 안녕하세요? 악성코드에 감염된 43대 서버에 성명, 전화번호 등등의 정보들이 저장돼 있었다고 하는데, 그럼 이 감염된 서버를 통해서 무단 결제에 필요한 정보가 유출된 가능성도 있는지 확인 부탁드리고요.

그리고 오늘 KT 브리핑이긴 하지만 그래도 여쭤보면, 지금까지 프랙보고서에서 나온 KT와 정부 온나라시스템 다 정보 유출 정황들이 사실로 드러나고 있는데 LG유플러스 같은 경우는 APPM 해킹은 당했지만 정보 유출은 아니라고 주장하고 있잖아요.

그런데 이게 말이 안 된다고 보는 게 프랙의 그 화이트해커가 해킹 파일들을 게시를 다 해서 실제로 누구나 확인할 수 있는 상황으로 알고 있는데, 보면 계정, 아이디, 패스워드, 직원 실명 등 다 나와 있거든요. 그리고 암호화를 풀 수 있는 패스워드 파일도 유출된 걸로 추정이 되고. 그래서 정부에서 이런 부분을 파악하고 계신지, 어디까지 조사 진행 단계인지 한번 말씀 부탁드리겠습니다.

<답변> 먼저 KT 것 물어보셨는데요, 43대. 사실 지금 확인한 지가 지금 시간이 얼마 안 되고 저희도 지금 자료를 받아서 분석해 봐야 됩니다. 그리고 거기에 얼마나 개인정보가 들어있는지는 또 개보위 소관 사항인 부분도 있고요.

다만, 말씀하신 대로 소액결제 개인정보가 필요한 부분하고 연계성 있는지, 없는지도 정밀하게 저희가 조사하고 확인이 필요한 지점입니다. 현재로서는 단정적으로 이렇다, 저렇다, 말씀드리기는 좀 어려울 것 같고요.

두 번째, LG APPM 관련해서 프랙보고서에서 나왔던 부분도 저희가 정밀하게 보고 있습니다. 그래서 조금 더 이런 부분들은 저희가 조사단이 구성돼서 지금 보고 있는 부분들, 서버들, 내용들, 로그 같은 거 보고 있습니다. 좀 더 진전이 있으면 동일한 방식으로 저희가 발표가 있을 거로 좀 기다려 주시면 감사하겠습니다.

<질문> *** 지금까지 조사 과정에서 유심 인증키 해킹은 없었는지 궁금하고요. 유플러스 해킹 조사는 어떻게 진행 중인지 궁금합니다.

<답변> 이거는 저희 부단장님이, KISA 부단장님께서 답변드리도록 하겠습니다.

<답변> (관계자) 여쭤보신 유심키... 인증키 관련해서는 현재까지 조사된 사항에서는 유심의 복제나 이런 데 필요한 인증키가 유출된 정황은 아직까지 발견은 안 됐습니다. 하지만 이번에 여러 가지 추가 사고 건들이 발견돼서 그 부분에 대해서도 관련성이 있는지는 면밀하게 살펴볼 예정이고요.

그리고 유플러스 관련해서 물어보신 것도 지금 민관합동조사단이 구성돼서 지금 살펴보고 있습니다. 그래서 기자님도 말씀하셨지만 APPM 서버 외에 추가로 관련된 서버라든지 이런 것들은 정밀하게 지금 살펴보고 추후에 발표할 내용이 있으시면 저희가... 있으면 저희가 비슷한 방식으로 기자님들한테 브리핑할 예정입니다.

<답변> 제가 첨언 하나만 드리면 지난번에 SK 사태에서 유심키가 SK 빼고 KT하고 LG는 암호화가 돼 있었고 SKT는 암호화가 안 돼 있었는데 지금 암호화 조치한 것으로 저희가 알고 있습니다. 유출 여부하고 별개로 암호화됐는지를 참고로 말씀드립니다.

<질문> 사실상 패킷 감청 사례를 처음 발견한 건데 지금 패킷 감청이 된다, 라는 전제를 깔면 단순히 소액결제에 필요한 문자 메시지나 ARS 유출뿐만 아니라 데이터 통신 전체가 유출됐을 가능성도 있는 건데 이것과 관련돼서는 어떤 입장을 갖고 계신지 궁금하고요.

그리고 사실 패킷 감청 자체를 놓고 보면 이동통신망의 무결성이라는 전제가 깨지는 건데, 예를 들어서 우리가 PASS라든지 통신망을 통해서 인증하던 모든 게 위험하다는 사실로도 확대 해석도 가능하거든요. 그래서 여기, 특화망부터 해서 우리가 이동통신망 전반을 관리하는 체계를 점검할 필요가 있어 보이는데 이거에 대해서 어떻게 생각하시는지 궁금합니다.

<답변> 아까 저희가 자료에서도 말씀을 드렸지만 조사가 좀 더 필요한 영역이라고 말씀드릴 수가 있고요. 지금 현재는 조사단도 전문가들이 많이 참여하고 계십니다, 통신 관련 전문가들도 참여하고 계시고. 조사단이 전문가들 자문도 필요하고요. 저희가 테스트베드 테스트도 해보고 있습니다. 그래서 이것들이 좀 정리가 되면 한번 그런 부분에 대해서 말씀드릴 수 있을 것 같습니다.

<질문> 발표 말씀 잘 들었습니다. 정보통신기술 관련 전문가들 얘기가 이번에 KT에서 유심 교체 이거 얘기했지 않습니까? 그런데 이게 실효성 있는지 모르겠다, 왜 하는지 모르겠다고 지적이 있었는데요. SKT 때는 정부에서 유심 교체와 관련해서 이야기를 하셨던 걸로 제가 기억이 드는데 KT의 경우에서도 유심을 교체하라는 어떤 지시나 권고가 있었는지 알고 싶고요.

두 번째가 이번에 해킹 때 이후로 소액결제의 경우에 2차 인증을 적용하겠다고 한 1개월 전쯤에 자료 냈던 걸로 기억하는데 KT에 물어보니까 KT 쪽에서는 PASS 인증 중에서 문자 그다음에 지문 이런 거를 통한 PASS 인증 내에서의 두 가지 인증 이런 얘기를 하는 거예요. 그런데 정부에서 보시기에 통신사의 PASS 인증 외에 다른 멀티패턴 인증해야 되는 게 아닌가 생각이 들어서 그 부분에서 구체적으로 말씀 듣고 싶습니다.

<질문> SKT 때도 그렇고 KT 때도 그렇고 유심 교체에 대해서는 각 사가 판단하는 영역입니다. 정부가 이렇게 저렇게 해라, 얘기는 없었습니다. 그거는 명확히 해 드리고요. 정부의 권고가 있었던 부분은 없습니다.

2차 인증에 대해서는 지금 우리 김준모 과장이... 지금 약간 불확실한 정보 같아서요. 제가 나중에 따로 한번 말씀드리는 게 좋을 것 같습니다. 제 아는 한에는 2차 인증이 본인 결제번호 있지 않습니까? 6자리라든지 그다음 지문 인증이라든지 이런 2차 인증을 이야기를 하고 그걸 의무화해가는 과정으로 제가 기억하고 있는데 그건 제가 따로 한번 말씀을 드리겠습니다. 지금 담당 과장이 없어서요.

<질문> 기회 주셔서 감사합니다. 오늘 조사, 중간조사 발표를 보면 수사기관에서 입수한 불법 펨토셀 관련 내용이 거의 없는 것 같은데요. 시간이 오래 걸린다고 하셨는데 혹시 그렇게 된 이유가 있는지, 된다면 언제쯤에 나올지, 현재 어떤 진행 상황인지 여쭙고 싶고요.

두 번째로, 추가 피해 유출 정황, 그러니까 추가로 피해자가 발생했다는 언급이 있는데 규모가 얼마나 되는지 그리고 앞으로 또 더 나올 수도 있는지가 궁금하고요.

그리고 2024년 8월, 1월 이전의 접속기록이 아예 없다고 한다면 이걸 앞으로 더 찾아낼 수가 있나, 여기에 대한 궁금증도 생기는데요. 답변 부탁드리겠습니다.

<답변> 압수물은 경찰이 압수한 고유물입니다. 그거를 활용하고 조사·분석하는 과정에 있어서는 경찰의 동의와 과정들이 필요하기 때문에 저희가 시간이 좀 많이 걸립니다. 한번 압수물을 옮기고 하는 거는 경찰의 행정적인 절차들 부분이 있어서 그런 거고요. 지금 현재는 수시로 공조를 해서 저희가 그 내용물들을 눈으로 확인하는 과정도 있고요. 그다음에 안에 있는 내용물들을 저희가 가지고서 포렌식을 하기도 하고 이러면서 시간이 좀 더 걸리는 부분들이 있습니다.

추가 피해자에 대한 부분은 아까 묶어서 조금 말씀을 드리면, KT가 2024년 8월 1일 이후에 전체 기지국에 대한 부분 그리고 전체 결제에 대한 부분을 분석한 과정을 저희가 그 방식이 옳았는지를 한번 검증은 했습니다, 방식은. 다만, 그 방식대로 제대로 돌렸는지를 한번 저희가 다시 한번 돌려보면 혹시라도 미싱한 부분이 있는지를 꼼꼼하게 체크해서 저희가 찾아보겠다, 라는 뜻입니다.

조금 시간이 걸릴 것 같습니다. 워낙 방대한 양이어서 KT가 돌린 경우에도 수십 일이 걸린 걸로 저희가 알고 있습니다.

<질문> 말씀하신 것처럼 조사가 좀 필요한 부분 같기는 한데 사실 제일 궁금한 거는 어떤 정보가, 그러니까 이번에 추가... 작년에 관련해서요. 그러니까 어떤 정보가 어느 정도로 해킹이 됐느냐가 궁금한 것 같은데, 이번에 똑같이 SKT와 마찬가지로 BPFDoor 해킹인데 HSS 핵심 서버가 털렸다거나 아니면 SKT처럼 가입자 전원 규모 정도의 유출이 의심이 된다, 라든지 이런 가능성은 없을까요?

<답변> 조사단은 가능성 가지고 이야기드리면 상당한 혼란을 일으키는 일인 것 같습니다. 그래서 조금 이해해 주시면 좋겠고요. 신속히 지금 발표드린 거는 혹시라도 국민들께서 저희가 투명하게 공개하겠다는 원칙에 따라서 말씀을 드린 거고 이 43대도 저희가 특별히 지금 쓰여 있는 걸 한번 보시면 KT가 저희한테 보고를 하였다, 라는 형태로 돼 있습니다. 이거는 저희가 철저하게 검증이 필요합니다.

SKT 같은 경우도 처음에 9.82GB 나간 것을 저희가 확인하고 검증하고 크로스체크해서 2,600... 제가 수치가 정확하게 기억이 안 나는데 그거를 갖다가 하나하나 확인을 하면서 저희가 발표를 할 수 있는 부분입니다.

그래서 아마도 과정상으로는 일단 서버에 대해서 전체 어떤 서버인지 저희가 확인을 해야 되고, 안에 어떤 내용이 있는지 하나하나 포렌식 하면서 저희가 정리가 되면 말씀을 드릴 수 있을 것 같습니다. 조금만 이해를 해주시면 감사하겠습니다.

<질문> 자료 내용에 보면 기지국 접속 이력이 없는 소액결제 피해도 확인했다고 했는데 그게 일부라고 했는데 어느 정도 규모인지 궁금하고요.

몇 명... 접속이 안 됐는데 어떻게 소액결제가 이루어질 수 있었는지 과정에 대해서 알려주세요.

<답변> (관계자) 비율은 아까 말씀드린 대로 접속기록에 안 남게 된 이유는 기술적인 한계가 있습니다. 아까 4조 300억 건 정도의 기지국 접속 이력들을 KT가 저장·보관 하는 과정 중에 수집이나 이런 보관하는 과정 중에 로스가 발생할 비율이 있고요. 정확한 수치는 저희가 공개적으로 말씀드리기는 어려운 점이 있어서 양해 말씀드리고요.

기자분... 기자님께서 여쭤보신 어떻게 기지국 접속을 안 했는데 결제가 됐느냐는 말씀은 기지국에 접속기록이 없을 뿐이지 그 부분이 실제는 기지국에 붙었기 때문에 결제가 일어난 건 맞고요. 시스템상에 남아 있는데 로그가 없기 때문에 그런 이슈가 있었고.

그런데 저희가 이번에 KT한테 요청한 이유도 그런 여러 가지 상황들을 고려해서 최대한의 피해 범위를 산정하라고 저희가 요청을 했고, 그러다 보니까 접속기록이 없더라도 어떤 결제 패턴이라든지 여러 가지 고려 사항들, 아니면 불법 기지국의 위치라든지 그때 시공간상에서의 어떤 피해자의 위치라든지 그런 것들을 다 고려해서 피해자를 최대한 식별을 해낸 과정이라고 보시면 될 것 같습니다.

<질문> ***

<답변> (관계자) 그 데이터를 저희가 직접 카운트한 게 아니라 KT 쪽에서 이야기한 데이터다 보니까 추후에 저희가 한 번 더 검증을 하고 말씀드리는 게 맞을 것 같습니다.

<답변> 참고로 하나 첨언을 드리면, 통신3사에 확인해 보니까 기술적으로 로스가 생기는 부분들은 3사들이 다 같이 있는 것 같습니다. 참고하시면 될 것 같습니다.

<질문> 아까 유심 교체에 관해서는 각 사가 판단한 문제라고 말씀을 하셔서 그거에 대해서 좀 추가 질문을 드리는데요. SKT 이슈 같은 경우에는 데일리 브리핑이라고 해서 언론이나 공개적으로 지금 현재 상황이 어떤지, 그리고 유심 교체 현황은 어떤지 이런 거를 발표하는 게 있었던 걸로 기억을 합니다. 지금 KT 같은 경우는 이런 부분이 이루어지고 있지 않는 것 같은데 혹시 조사단 차원에서 이런 거를 권고하거나 아니면 뭐 어떻게 하실 계획이 있으신지 여쭤보고 싶습니다.

<답변> 아마 SKT 상황하고 비교해 보시면 그때 국민들의 불안이, 가입자들의 불안이 가중되면서 유심 정보가 유출됐다, 라고 해서 유심 복제 가능성 그리고 FDS가 약간 불완전한 상황이 존재하면서 유심런 사태가 일어났습니다. 그때 유심 재고량을 KT가... SKT가 한 20만 정도 가지고 있었고 지금 KT 같은 경우는 한 200만 정도 지금 보유하고서 지금 대비를 하고 있습니다.

그래서 그때하고는 조금 상황이 달라서 그때 유심도 부족한 상태에서 대응을 잘 못 하고 있어서 저희가 행정 지도를 하고 데일리로 수급 상황이라든지 공급 상황을 저희가 확인을 시켰던 거고요. 지금은 조금 상황이 다르지만 만약에 가입자들, 국민들한테 불편 사항이 있으면 그런 부분들도 추후에 검토할 수 있을 것 같습니다.

<질문> 펨토셀 활용한 탈취 과정에서 용의자들이 종단 간 암호화를 해제해서 평문으로 그걸 받았다고 했는데 이 암호화를 해제하는 메커니즘이 궁금하고 혹시 그 용의자들이 사용한 방식을 활용하면 KT 이외에 다른 통신사들도 그런 펨토셀을 통한 종단 간 암호화 해제가 가능한지 궁금합니다.

그리고 마지막으로 최종 조사 결과 발표는 언제쯤으로 예상하는지도 여쭙습니다. 감사합니다.

<답변> 제가 두 번째 거 먼저 답변드리고 첫 번째 거는 조금 전문적인 영역이어서 우리 부단장님이 말씀드리도록 하겠습니다.

최종 조사 결과는 사실 지금 예단하기가 어렵습니다. 왜냐하면 이게 펨토셀 통신 장비를 이용해서 이렇게 사이버 공격이 있었던 부분들이 조금 예외적인 상황이고, 저희가 거기에 대한 분석에도 지금 시간이 많이 걸렸고요.

두 번째로 최근에 발견됐지만 BPFDoor 서버가 43대가 발견됐기 때문에 이거를 전체 포렌식 하는 데 상당한 시간이 걸립니다. SKT 때도 그때 포렌식을 하다 보면 데이터를 떠오는 데도 상당히 많은 시간, 그다음에 그걸 갖다가 라인 바이 라인으로 포렌식을 해야 되기 때문에 시간을 특정하긴 어려울 것 같고요. 모든 리소스를 투입해서 최대한 빨리 분석할 수 있도록 노력해 나가겠습니다.

<답변> (관계자) 기자님 문의하신 종단 간 암호가 해제되는 경우는 굉장히 이례적인 케이스입니다. 따라서 이게 결국 전제조건은 불법 펨토셀이 결국 중간에서 스마트폰하고 KT 코어망에서 연결되는 중간에서 그런 역할을 했기 때문이고, 기술적인 내용들은 조금 복잡합니다. 이게 통신 프로토콜상의 여러 가지 어떤 시도라든지 트라이가 필요해서 여기서 기술적으로 세부적으로 말씀드리긴 좀 어렵지만 종단 간 암호를 설정하기 위한 여러 가지 과정 중에 어떠한 불법 펨토셀이 개입해서 어떤 해제가 될 수 있는 상황을 만들 수 있는 것들을 일단 저희가 프로토콜 분석이라든지 전문가 의견이라든지 여러 가지 테스트를 통해서 일단 확인한 부분이고요.

저희가 판단이라고 했고 시나리오라고 했던 부분은 아무래도 불법 펨토셀 장비 자체가 아직도 분석이 진행 중에 있는 상황이기 때문에 가장 높은 가능성이 있는 부분들을 저희가 실험 검증한 내용으로 일단 먼저 말씀을 드렸다고 보시면 될 것 같습니다.

<답변> 제가 추가로 좀 말씀드리면 아까 브리핑한 내용에 있습니다. 보도자료에 보시면 불법 펨토셀로서 생길 수 있는 이런 문제점을 저희가 조치하기 위해서, 보도자료 3페이지입니다, 중간 부분에. 조사단은 펨토셀, 불법 펨토셀 접속 차단을 위해 통신 3사에 신규 펨토셀 접속을 전면 제한하고 펨토셀이 KT에 대해서는 인증서 유효기간 단축, 그다음에 접속 요구 시 유선 IP 외에는 차단, 형상정보 확인 및 인증, 그다음에 펨토셀 제품별 별도 인증서 발급 등의 조치를 통해서 지금 KT에서 새로운 불법 펨토셀이 붙을 가능성을 차단해 나가고, 다른 2사도 마찬가지입니다. 이런 조치를 하고 있습니다.

<질문> 안녕하세요? 저 다름이 아니고 BPFDoor 공격자가 SKT와 같은 곳으로 추정이 되거나 하는 등의 이런 공격자에 대한 조사도 이루어지고 있는지, 혹시 이루어졌다면 어디까지 지금 공개해 주실 수 있는지 여쭙습니다.

<답변> BPFDoor 관련해서 지금 자꾸 질문을 해주시는데요. 저희가 최근에 발견하고 최근에 확인을 다 한 게 아니라 KT한테 이제 자료를 받은 상황이기 때문에 그거는 다 지금 조사를 해 봐야 됩니다. 해 봐야 되고, 과연 그 서버들에 지금 얼마만큼의 정보들이 있는지, 어떤 공격들을 받았는지, BPFDoor나 다른 부분 그리고 그게 공격자가 SKT와 연관성이 있는지 부분들은 아직은 지금 말씀드리긴 너무 이른 시간대인 것 같습니다. 정리되면 말씀드리도록 하겠습니다.

<질문> 예전에 침해 정황이 있으면 기업 신고 없이도 조사할 수 있도록 제도를 개선하신다고 했는데 이런 부분 관련해서 어떻게 논의가 진행되고 있는지 궁금합니다.

<답변> 지금 그런 문제의식을 국회에서 의원님들께서 많이 가지고 계십니다. 그래서 과방위 위원장님을 포함해서 몇 분들이 지금 정황이 있는 경우에도 바로 조사를 들어갈 수 있는 법적 근거를 발의해 주셨고, 그 법이 조속히 통과가 되면 저희가 충분히 그런 조사들을 신속히 추진할 수 있는 기반이 마련될 것 같습니다.

<질문> 조금 이외의 질문드리고 싶은데요. 일단 SKT와 사태가 조금 다르기는 하지만 지금 KT 사태의 경우 고의 회피 정황이 분명히 드러나고 있는데 혹시 신규 영업정지 등의 행정지도를 내리실 가능성은 없으신지 여쭙고 싶고요.

그리고 KT 유심 교체는 사업자의 자발적 선택이라고 말씀 주셨지만 전체 가입자에게 문자 고지를 안 하는 등의 유심 교체를 잘 모르는 가입자도 많은 상황인데 이에 대한 과기정통부의 어떤 행정지도도 계획에 없으신지 여쭙고 싶습니다.

<답변> SKT 때 신규 영업정지를 했던 배경은 아마 잘 알고 계실 거로 믿고 싶습니다. 아까도 말씀드렸지만 유심은 부족한 상태에서 고객들은 유심을 교체해 달라고 하는데 그걸 신규 영업으로 돌리는 부도덕한 행위를 막기 위해서 저희가 행정지도를 했고 그다음에 신규 영업정지를 시켰던 거거든요.

그래서 만약에 KT도 그런 사태가 벌어진다고 하면 아마 동일한 조치로 들어가야 될 것 같습니다. 그래서 그거는 저희가 엄중하게 쳐다보고 그다음에 판단할 수 있을 것 같고요.

유심 교체에 대해서 문자 고지는...

<답변> (관계자) 현재 피해가 발생, 피해가 직접적으로 발생한 서울 8개 구, 그다음에 경기도 9개 시에 대해, 9개 시의 청구 주소 기준 가입자에 대해서 현재 유심 교체가 어제부터 진행 중입니다. 그런 부분에 대해서는 해당 대상이 되는 가입자가 그 부분을 충분히 인지할 수 있도록 저희가 행정지도를 하도록 하겠습니다.

<질문> 조금 전에 부도덕한 상황 얘기하셔서요. 조금 전에 부도덕한 상황 얘기하셔서 여쭤보는 건데 사실 KT는 그러면 작년 3월에 이런 일이 있었는데 은폐하고 올해 4월에 SK텔레콤 사건이 벌어졌을 때 이걸 활용한 마케팅까지 한 것 아닙니까?

SK텔레콤 해킹을 가지고 KT가 마케팅 활동도 했고 지난 7월에 기자간담회를 하면서 자기들은 BPFDoor 공격이라든지 이런 거를 철저히 막고 있고 여태까지 그런 경험도 없다, 라고 얘기를 하면서 이걸 마케팅에 이용을 했었는데, 이거야말로 부도덕한 행동 아닌가 싶어서요.

<답변> 갑자기 그거를 정부 당국자한테, 아까 설명을 드리면서 그런 표현을 했던 거고 KT에 대한 부분 엄중히 조사를 하고요. 말씀하신 대로 부도덕성에 대한 평가는 SK처럼 좀 시간이 흐르고 난 뒤에 저희가 100% 필요하면 평가를 할 수가 있겠지만 그거는 조사단장한테 KT도 부도덕하냐고 물어보시는 거는 사실은 조금 질문이 난해한데...

<질문> 아니, 제가 부도덕하다고 물어보는 게 아니고요. 아까 영업정지와 연관된 얘기여서 여쭤보는 겁니다.

<답변> 그래서 제가 아까 말씀드린 대로 SKT하고 동일한 상황이 벌어진다, 국민들한테, 가입자들한테 피해가 간다 그러면 당연히 정부로서는 엄중하게 조치를 들어갈 것입니다. 다시 한번 말씀드립니다.

<질문> 안녕하세요? 국민들한테 피해가 가야 엄중 조치를 하겠다고 말씀 주셨는데 금융 피해야말로 국민들에게 피해가 간 조치가 아닌가요?

<답변> 지금 뭔가 약간... 분명히, 분명히 국민들한테 피해를 준 거는 잘못된 기업의 행위였습니다. 그리고 거기에 따라서 조사를 하고 할 수 있는 모든 조치들을 수사, 필요한 경우에는 수사 의뢰도 하고 있고요. 법적 조치를 하고 있습니다. 제가 갑자기 SK만 부도덕이라는 표현을 썼다고 그러시는 것 같은데 그거는 아닙니다, 그거는 분명히.

<질문> 안녕하세요? BPF 코드에 대해서 조금 더 질문을 드리고 싶은데요. 백신을 돌린 흔적을 포렌식을 하다가 발견을 하셨고 그다음에 그거에 대해서 KT에다 이게 뭐냐, BPF 이거 알려 달라 했는데 그 43대라는 서버 숫자는 KT가 그러면 조사단에 알려준 것인지, 혹은 그래서 43대, KT 말로는 43대 외에 더 추가로, 만약에 조사단이 전수조사를 할 경우에 더 나올 가능성이 있는 건지 묻고 싶습니다.

<답변> 모든 가능성은 열려 있습니다. 제가 이제 더 이상 SK 비교를 안 해야 될 것 같은데, 방법이 한 게 SK밖에 최근에 없어서. SK 같은 경우도 특정 지역에 문제가 된 서버들을 조사하면서 들어가다 보니까 연계된 서버들을 발견하면서 확대가 된 사항이 있습니다.

지금 43대는 KT가, 저희가 확인을 해달라고 하니까 43대가 있었고, 43대에 대한 자료를 받고서 저희가 포렌식을 하다 보면 더 확대될 수도 있습니다.

<질문> 악성코드 관련해서 조금만 추가 질문드릴게요. 일단은 KT 측에서 관련해서 인증하고 43대 감염을 보고를 했는데, 그렇다면 여기서 개인정보 유출에 대한 로그 관련해서 보고도 이루어졌을 것 같은데 여기에 대해서는 좀 어떤 입장이고, 지금 여기서는 언급이 아예 없어서요.

<답변> 아까 말씀드린 사항으로요. 지금 그 서버들이 43대라는 걸 저희한테 확인을 해주었고 거기에 그런 일부 정보 등이 들어있다, 라는 걸 보고를 한 상태입니다. 지금 그 자료들을 저희가 다 봐야 됩니다. 서버들을 봐야 되고, 서버 안에 뭐가 들어있는지 봐야 되고, 어떤 서버가 연계돼 있는지 봐야 되고, 그 안에 들어 있는 자료들을 라인 바이 라인으로 포렌식을 하면서 어떠한 악성코드가 들어가 있었던 건지 그런 부분들을 확인한 뒤에 저희가 아마 이거는 밝힐 수 있을 것 같습니다.

<답변> (사회자) 더 이상 질문이 없는 것 같습니다. 이상으로 브리핑을 마치도록 하겠습니다. 감사합니다.

<답변> 감사합니다.

<끝>