KT는 어떻게 강탈을 당했나

커뮤니티메뉴

전체보기

글쓰기

모바일 상단 메뉴

본문 페이지

[이슈] KT는 어떻게 강탈을 당했나

사크라스

댓글: 2 개

2026-01-05 19:36:04

KT는 어떻게 강팀이 되었ㄴ....아니 어떻게 개인 정보를 강탈당했나 조사 결과가 나왔다고 합니다. 모 프로게이머가 세계대회 8강 마지막 세트에서 "단 한 번도" 해보지 않은 캐릭을 고른 비하인드 영상만큼이나 충격적이네요.

https://youtu.be/7coj1UtgyKE?si=pzrDuTKJk2btc70B

AI 요약 :
정부의 최종 조사 결과와 보안 전문가의 분석을 바탕으로, KT의 과실과 해킹이 가능했던 기술적·관리적 원인을 더 구체적으로 정리해 드립니다.

1. 소액결제 해킹의 원인: "만능키"가 되어버린 인증서 관리 부실
이 사건의 가장 큰 충격은 KT가 보안의 핵심인 **'인증서'**를 매우 허술하게 관리했다는 점입니다.

동일 인증서의 범용 사용 (가장 큰 과실): KT는 소형 기지국(팸토셀)들이 내부망에 접속할 때 사용하는 인증서를 모든 기기에 동일하게 적용했습니다. 즉, 기기마다 개별 열쇠를 준 것이 아니라, 수만 대의 기기에 똑같은 '마스터 키'를 준 셈입니다.

중국산 가짜 장비의 통과: 해커들은 이 마스터 인증서를 탈취한 뒤, 이를 중국산 저가 장비에 심었습니다. KT 내부 서버는 이 장비가 'KT 정품'인지 확인하는 대신 '인증서가 있는가'만 확인했기 때문에, 가짜 장비가 아무런 제지 없이 KT 내부망에 접속할 수 있었습니다.
인증 로직의 허점: 가짜 기지국이 설치되자 주변 사용자의 휴대폰 신호가 이 가짜 장비로 유도되었고, 범죄자들은 이 과정에서 가로챈 개인정보(전화번호, 기기식별번호 등)를 이용해 소액결제를 진행했습니다.

2. 서버 해킹의 원인: 3년간 방치된 "열린 문"
KT 서버 해킹은 기본적인 보안 수칙만 지켰어도 막을 수 있었던 '인적 과실'의 성격이 강합니다.

웹셸(Webshell) 3년 방치: 해커가 서버를 원격 제어하기 위해 설치하는 '웹셸'이 무려 3년 동안이나 서버에 남아 있었습니다. 이는 KT가 그동안 서버의 무결성 검사나 정기 보안 점검을 전혀 제대로 하지 않았음을 의미합니다.

로그 기록의 부실 (보안 관리 태만): 해킹 사고 발생 시 경로를 추적할 수 있는 서버 로그 보관 기간이 1~2개월에 불과했습니다. 통상적인 기업 보안 수준에 한참 못 미치는 수준이며, 이 때문에 해커가 정확히 어떤 경로로 들어왔는지 파악하는 데 큰 어려움을 겪었습니다.

보안 장비 미운용: 일부 서버에는 침입 탐지 시스템(IDS)이나 침입 차단 시스템(IPS) 등 기본적인 보안 장비조차 제대로 작동하지 않았거나 아예 없었던 것으로 밝혀졌습니다.

3. 사고 대응 및 은폐 정황 (도덕적 해이)
기술적 결함 외에도 사고를 대하는 KT의 태도가 과실의 무게를 더했습니다.

악성코드 발견 후 미신고: KT는 2024년 초에 이미 서버에서 악성코드(BPFdoor)를 발견했음에도 불구하고 이를 관계 당국에 신고하지 않았습니다. 만약 이때 신고가 되었다면 다른 통신사나 기관들이 미리 대비할 수 있었을 것이라는 지적입니다.

정부 조사 방해: 한국인터넷진흥원(KISA) 등 조사단이 해킹 흔적이 남은 장비를 조사하려 하자, KT는 "이미 폐기 처리했다"고 거짓말을 했습니다. 하지만 조사 결과 해당 장비는 폐기되지 않은 상태였고, 이는 조사를 고의로 방해한 행위로 간주되어 수사 의뢰가 된 상태입니다.

요약하자면
KT는

① 모든 기기에 동일한 인증서를 사용하는 구조적 결함을 방치했고,

② 서버 보안 점검을 3년 넘게 소홀히 했으며,

③ 사고 발생 후에도 은폐를 시도하는 등 총체적인 관리 부실을 드러냈습니다.

정부가 "KT의 명백한 과실"이라고 결론 내리고 위약금 없는 해지를 가능하게 한 이유가 여기에 있습니다.