[KT] BPF 도어 감염 및 신고 지연 정황_2025년 11월
KT 서버에서 BPFdoor 등 악성코드 감염이 확인되었으나 정부에 신고하지 않은 정황이 드러남. SKT와 동일 계열의 해킹 도구로, 통신사 전반 확산 우려가 제기됨.

□ 개요
KT는 2024년 3월부터 7월 사이 자사 서버 43대에서 BPFdoor, 웹셸 등 악성코드 감염을 자체 확인했으나 관계기관에 신고하지 않은 것으로 확인됐다.
해당 서버에는 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등 주요 개인정보가 저장되어 있었던 것으로 조사됐다.
BPFdoor는 네트워크 패킷 필터 기능(BPF)을 악용해 탐지를 회피하는 은폐형 백도어로, 서버 내부에 장기간 잠복하며 특정 신호(매직 패킷) 수신 시 외부 공격자와 통신하는 방식으로 작동한다.
현재 개인정보 유출 여부 및 감염 경위에 대한 정부 조사가 진행 중이다.
□ 사고내용 요약
1. 기관명 : KT
2. 사고유형 : BPFdoor 및 웹셸 등 악성코드 감염, 신고 지연 정황
3. 피해규모 : 미확정(조사 중)
4. 피해항목 : 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등(서버 저장 정황 기준)
□ 해킹대응 타임라인
- 2024년 03월~07월: KT, BPFdoor·웹셸 등 악성코드 감염 서버 43대 자체 확인
- 2025년 11월 06일: 민관합동조사단, KT의 악성코드 감염 및 미신고 사실 중간 발표
- 2025년 11월 09일: 개인정보위, 유출 여부 및 신고 지연 가능성 조사 착수 발표
□ 홈페이지 보안사고 관련 공지
KT는 현재까지 BPFdoor 관련 별도 공지를 게시하지 않았으며, 자체 점검 및 관계기관 조사에 협조 중임을 표명한 상태임.
□ 대응내역
- 감염 서버 복구 및 백신 재조치 수행
- 민관합동조사단·개인정보위 조사 협조 중
- 내부 보안체계 및 로그관리 절차 재점검 착수
□ 재발방지대책(권고사항)
1. 기술적 조치
- BPFdoor 계열 탐지 스크립트 상시화 및 eBPF 후킹 기반 모니터링 강화
- 비정상 포트 리스닝 및 리버스 셸 행위 탐지 정책 강화
- 서버 내 탐지 불능 구간에 대한 EDR·NDR 연계 확대
2. 관리적 조치
- 침해사고 인지 시 24시간 내 신고체계 준수
- 내부 보안 로그 검증 및 점검 절차 표준화
- 보안사고 은폐 방지 위한 내부통제 강화 및 이사회 보고 체계 확립
□ 관련기사(출처)
- KT도 ‘BPF 도어’ 감염···개보위, 개인정보 유출·신고 지연 조사 중 - 이뉴스투데이
- [사설] KT 해킹 알고도 ‘쉬쉬’, 관련자들 엄하게 책임 물어야 - 한겨례
- 백신으로 해킹 덮은 KT에 …“국민 기만” “부도덕 기업” 비판 확산 - 경향신문
- 문자·통화까지 털렸나… KT 해킹, 종단 암호화 해제 정황 - 대경일보
- KT "내일부터 전 고객 유심 무상교체"…김영섭 대표는 연임 포기 - 중앙일보
감사합니다.