사이버위협분석/해킹 및 개인정보 유출사고 동향

KT·LG U+ 침해사고 최종 조사결과 분석(25.12.30) - 과학기술정보통신부

경험한사람 2026. 1. 8. 23:34


― 통신 인프라 보안의 구조적 한계를 드러낸 사건



Ⅰ. 서론   

1. 왜 KT·LG U+ 침해사고 최종 조사결과를 다시 봐야 하는가

2025년 말 과학기술정보통신부가 발표한 KT·LG U+ 침해사고 최종 조사결과는 단순히 개별 기업의 보안 사고를 넘어,
대한민국 국가 기간통신망 보안 체계 전반의 구조적 취약점을 드러낸 사건이다.

이번 사고는 “해킹을 당했다”는 결과보다도,

  • 어떻게 내부망까지 신뢰가 붕괴되었는지,
  • 왜 침해 사실을 끝까지 규명하지 못했는지,
  • 통신사 보안 거버넌스가 실제로 작동하고 있었는지를 묻는 계기가 되었다.


2. 이번 발표의 의미

과기정통부는 이번 조사에서

  • 민관합동조사단 구성
  • 수사기관 압수물 분석
  • 전사 서버 전수 점검
    이라는 역대 최고 수준의 조사 범위를 적용했다.

그 결과, 이번 사고는 단순한 “외부 해킹”이 아니라

통신 인프라 자체를 신뢰 기반으로 설계해온 기존 보안 모델의 한계를
명확히 보여준 사례로 평가된다.

 

Ⅱ. KT 침해사고 분석   

1. 사고 개요

KT 침해사고는 2025년 9월, 무단 소액결제 피해 분석 과정에서 비정상 통신 패턴이 확인되며 인지되었다.
이후 KISA 신고를 계기로 민관합동조사단이 구성되었고, 다음 세 가지 사안이 동시에 조사되었다.

  1. 불법 펨토셀 기반 침해사고
  2. 악성코드(BPFDoor 등) 감염 서버 다수 존재
  3. 과거 침해사고 신고 누락 및 조사 방해 정황

2. 피해 현황 정리

① 불법 펨토셀 침해사고

  • 유출 정보
    • IMSI(가입자 식별번호)
    • IMEI(단말기 식별번호)
    • 전화번호
  • 피해 규모
    • 개인정보 유출: 22,227명
    • 무단 소액결제: 368명 / 777건 / 약 2.43억 원

② 악성코드 감염 사고

  • 감염 서버: 총 94대
  • 확인된 악성코드: 103종
    • BPFDoor
    • 루트킷
    • 웹셸
    • 원격제어형 악성코드 등

특히 일부 서버는 2024년 이미 감염 사실을 인지했음에도 정부 신고 없이 자체 조치한 사실이 확인되었다.

3. 공격 시나리오 상세 분석

1) 불법 펨토셀을 통한 내부망 접근

공격자는 KT 정품 펨토셀과 동일한 인증서를 복사해 불법 펨토셀을 제작했고,
이 장비는 정상 장비처럼 KT 내부망 인증을 통과했다.

2) 인증서 기반 신뢰 모델의 붕괴

  • 모든 펨토셀에 동일 제조사 인증서 사용
  • 인증서 유효기간 10년
  • 비정상 IP·위치·형상 검증 부재

👉 결과적으로 “한 번 신뢰받은 장비는 계속 신뢰받는 구조”였다.

3) 통신 암호화 해제 가능 구조

불법 펨토셀을 경유할 경우,

  • 단말 ↔ 코어망 간 종단 암호화 해제 가능
  • ARS·SMS 인증 정보 평문 탈취 가능성 확인

4) 소액결제 공격 흐름

  1. 펨토셀을 통한 통신 정보 탈취
  2. 외부에서 확보한 개인정보와 결합
  3. 인증정보 탈취 → 상품권 구매
  4. 무단 소액결제 발생

4. KT 정보보호 체계의 핵심 문제점

① 펨토셀 보안 관리 부실

  • 장비 신뢰 검증 부재
  • 형상·위치·제품 고유 정보 검증 미흡

② 통신 암호화 신뢰성 붕괴

  • “암호화되어 있다”는 전제 자체가 깨짐

③ 악성코드 탐지 실패

  • 웹셸, BPFDoor 등 기본적인 위협도 장기간 미탐

④ 로그·보안장비 미비

  • 로그 보관 기간 1~2개월
  • 주요 시스템 방화벽 미적용

⑤ 자산관리·공급망 보안 부재

  • 전체 서버 자산 현황 불명확
  • 펨토셀 공급망에 대한 SBOM 관리 없음

⑥ CISO 중심 거버넌스 미작동

  • 보안 조직이 분산 운영
  • CISO의 실질적 통제력 부족

5. KT 재발방지 대책 평가 (전문가 시각)

정부 권고안은 기술적·관리적 방향성 자체는 타당하다.
그러나 핵심은 “도입 여부”가 아니라 지속적 운영과 권한 구조다.

  • 인증서 구조 개선 ✔
  • 로그 보관 기간 연장 ✔
  • 보안 솔루션 도입 ✔

👉 하지만 CISO 중심의 의사결정 구조가 정착되지 않으면 동일 문제 재발 가능성은 여전히 존재한다.

Ⅲ. LG U+ 침해사고 분석   

1. 사고 개요

LG U+ 사고는 익명 제보를 통해 시작되었다.
제보 내용은 통합 계정·패스워드 관리 시스템(APPM) 관련 정보 유출 의혹이었다.

2. 조사 결과 핵심 요약

  • APPM 연계 정보 일부 유출 사실은 확인
  • 그러나
    • 서버 OS 재설치
    • 관련 시스템 폐기
      로 인해 침해 경로·시점·공격자 행위 규명 불가

3. LG U+ 사고의 본질적 문제

이 사고의 핵심은 **“해킹 여부”보다 “조사 불능 상태”**다.

  • 증거 보존 실패
  • 포렌식 불가
  • 협력사 경유 침투 가능성 확인 불가

👉 결과적으로 사실관계 확정 자체가 불가능한 사고가 되었다.

4. 행정·법적 쟁점

과기정통부는

  • 관련 서버 폐기·재설치 행위를 부적절한 조치로 판단
  • 위계에 의한 공무집행 방해 혐의로 수사 의뢰

이는 통신사 보안 사고 대응에서 “증거 보존 의무”의 중요성을 강하게 시사한다.

5. LG U+ 사고에서 드러난 구조적 리스크

  • 사고 대응 프로세스 미정립
  • 침해사고 발생 시 기술 부서 단독 판단의 위험성
  • 포렌식·조사 관점의 보안 체계 부재

Ⅳ. KT·LG U+ 사고 비교 분석   

구분 KT LG U+
사고 성격 기술적 침해 명확 사실관계 규명 불가
핵심 문제 신뢰 모델 붕괴 사고 대응 실패
공통점 거버넌스·자산·공급망 보안 취약  

👉 두 사고 모두 보안 기술보다 “보안 운영 구조”의 한계를 드러냈다.

Ⅴ. 동일 사고 재발 방지를 위한 보안 강화 방안

1. 기술적 보안 강화 방안

  1. 장비·인증서 제로트러스트 재설계
  2. 종단 암호화 무결성 검증 체계
  3. EDR·NDR 기반 상시 위협 탐지
  4. 로그 1년 이상 보관 및 중앙 분석
  5. 통신 장비 보안 아키텍처 재정의

2. 관리적·거버넌스 개선 방안

  1. CISO 실질 권한 강화
  2. 침해사고 신고·대응 표준화
  3. 포렌식·증거보존 의무화
  4. 협력사·공급망 보안 통제
  5. 레드팀·화이트해커 상시 검증 체계

Ⅵ. 결론   

이번 KT·LG U+ 침해사고는

통신사는 단순 IT 기업이 아니라, 국가 보안 인프라 운영자 임을
다시 한 번 확인시켜 준 사건이다.


기술은 언제든 교체할 수 있지만,
보안 거버넌스와 책임 구조가 바뀌지 않으면 사고는 반복된다.

국민 신뢰 회복의 출발점은
“사고를 숨기지 않는 것”이 아니라, “사고를 끝까지 규명할 수 있는 구조”를 만드는 것이다.

251230_조간_(보도)_KT,_LGU__침해사고_최종_조사결과_발표.pdf
0.59MB



동영상 서비스가 종료되어 해당 콘텐츠를 재생할 수 없습니다.