사이버위협분석/해킹 및 개인정보 유출사고 동향

[KT] BPF 도어 감염 및 신고 지연 정황_2025년 11월

경험한사람 2025. 11. 9. 20:47

KT 서버에서 BPFdoor 등 악성코드 감염이 확인되었으나 정부에 신고하지 않은 정황이 드러남. SKT와 동일 계열의 해킹 도구로, 통신사 전반 확산 우려가 제기됨.




  개요  

     KT는 2024년 3월부터 7월 사이 자사 서버 43대에서 BPFdoor, 웹셸 등 악성코드 감염을 자체 확인했으나 관계기관에 신고하지 않은 것으로 확인됐다.
해당 서버에는 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등 주요 개인정보가 저장되어 있었던 것으로 조사됐다.
BPFdoor는 네트워크 패킷 필터 기능(BPF)을 악용해 탐지를 회피하는 은폐형 백도어로, 서버 내부에 장기간 잠복하며 특정 신호(매직 패킷) 수신 시 외부 공격자와 통신하는 방식으로 작동한다.
현재 개인정보 유출 여부 및 감염 경위에 대한 정부 조사가 진행 중이다.

 

  사고내용 요약  

    1. 기관명 : KT
    2. 사고유형 : BPFdoor 및 웹셸 등 악성코드 감염, 신고 지연 정황

    3. 피해규모 : 미확정(조사 중)
    4. 피해항목 : 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등(서버 저장 정황 기준)


  해킹대응 타임라인  

    -  2024년 03월~07월: KT, BPFdoor·웹셸 등 악성코드 감염 서버 43대 자체 확인
    -  2025년 11월 06일: 민관합동조사단, KT의 악성코드 감염 및 미신고 사실 중간 발표
    -  2025년 11월 09일: 개인정보위, 유출 여부 및 신고 지연 가능성 조사 착수 발표


 
홈페이지 보안사고 관련 공지    

   KT는 현재까지 BPFdoor 관련 별도 공지를 게시하지 않았으며, 자체 점검 및 관계기관 조사에 협조 중임을 표명한 상태임.


 
  대응내역  

    - 감염 서버 복구 및 백신 재조치 수행
    - 민관합동조사단·개인정보위 조사 협조 중
    - 내부 보안체계 및 로그관리 절차 재점검 착수


 재발방지대책(권고사항)   

    1. 기술적 조치
       -  BPFdoor 계열 탐지 스크립트 상시화 및 eBPF 후킹 기반 모니터링 강화
       -  비정상 포트 리스닝 및 리버스 셸 행위 탐지 정책 강화
       -  서버 내 탐지 불능 구간에 대한 EDR·NDR 연계 확대


    2. 관리적 조치
       -  침해사고 인지 시 24시간 내 신고체계 준수
       -  내부 보안 로그 검증 및 점검 절차 표준화
       -  보안사고 은폐 방지 위한 내부통제 강화 및 이사회 보고 체계 확립

  관련기사(출처)  

 

감사합니다.