2025.09.18 KT 펨토셀 해킹 사건 요약

1. 개요

 - 2025년 KT 해킹 사건은 펨토셀(초소형 기지국) 악용을 통한 무단 소액결제 피해와 서버 침해 사건으로 구성된 복합적 보안 사고입니다.

 - 펨토셀 해킹 사건은 8월 말부터 9월 초까지 중국 국적 용의자들이 불법 펨토셀 장비를 승합차에 싣고 수도권을 이동하며 KT 이용자들의 휴대전화를 해킹하여 무단 소액결제를 진행한 사건입니다.

 - 경기남부경찰청은 9월 16일 중국 국적의 40대 용의자 2명(장모씨, 류모씨)을 인천국제공항과 서울 영등포에서 검거했습니다.​​

 - 서버 침해 사건은 KT가 4월 SK텔레콤 해킹 사고 이후 외부 보안업체에 의뢰한 전사 서버 전수조사 과정에서 발견되었습니다.

 - KT는 9월 18일 23시 57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했으나, 실제로는 7월 22일부터 해킹 의심 정황을 인지하고 있었던 것으로 드러났습니다.

 

 - 특히 2024년 3월부터 7월간 43대 서버가 BPFDoor 악성코드에 감염되어 있었으나 KT가 은폐한 사실이 2025년 11월 정부 조사 결과 발표로 새롭게 적발되어 사건의 심각성이 크게 증가했습니다.

 

2. 사건 발생 및 적발 경위

 - 펨토셀 무단 소액결제 사건

• 최초 적발: 2025년 9월 1일 경찰로부터 특정 지역의 무단 소액결제 발생 제보
• 적발 과정: 2025년 9월 5일 새벽 3시 KT가 무단 소액결제 관련 이상 통신 호 패턴 발견 및 차단
• 신고: 2025년 9월 8일 19시 16분 불법 펨토셀 ID 확인 후 당국에 지연 신고
• 정보통신망법상 침해사고 인지 후 24시간 이내 신고 의무 위반

 

 - 펨토셀 외부망 접속 정황

• 2025년 7월 22일: 외부 보안업체가 해킹 의심 정황 보고
• 2025년 7월 19일: KISA로부터 국가 배후 조직의 인증서 유출 정황 통보 (프랙 보고서)
• KT 대응: 해킹 의심 정황을 인지하면서도 약 2개월 동안 신고하지 않음

 

 - 서버 폐기 및 증거인멸 의혹 (중대 적발)

2025년 9월 18일: KT가 KISA에 서버 침해 흔적 4건과 의심 정황 2건 신고

  > 문제점 적발

• KISA 자료 제출 요구(2025년 8월 10일)에 "8월 1일 서버 폐기"라고 허위 보고
• 실제 폐기 내용: 8월 1일 2대, 8월 6일 4대, 8월 13일 2대로 3차례 폐기
• 폐기 서버 백업 로그 존재 사실을 9월 18일까지 은폐

 

  > 법적 조치: 2025년 10월 2일 형법 137조(위계에 의한 공무집행 방해)에 따라 경찰에 수사 의뢰

 

 - BPFDoor 악성코드 은폐 사건 (최신 적발)

  > 감염 기간: 2024년 3월부터 7월간

  > 감염 규모: 43대 서버 감염 확인

• 펨토셀 관련 서버 포함
• 감염 서버에 성명, 전화번호, 이메일 주소, 단말기 식별번호 등 저장

  > 적발 방식: 정부 민관합동조사단의 포렌식 분석 중 백신 실행 흔적 발견 후 추적

  > 대응 문제: KT가 자체 처리했다고 주장하지만 구체적인 대응 방식(악성코드 제거, OS 재설치, 서버 폐기 등)은 조사 중

  > 신고 현황: KT가 당국에 신고하지 않고 자체 처리한 사실 확인 → 정보통신망법상 침해사고 신고 의무 위반

 

3. 피해범위

 - 펜토셀 해킹 피해

  > 무단 소액결제 피해자: 368명 (당초 278명→362명→368명으로 상향)​​

  > 재산 피해: 약 2억 4,319만원 (당초 1억 7,000만원→2억 4,000만원→2억 4,319만원)​

  > 개인정보 유출: 총 2만 2,227명의 IMSI(국제이동가입자식별번호), IMEI(국제단말기식별번호), 휴대폰 번호 유출​

  > 불법 펨토셀 ID: 총 20개 (당초 4개에서 16개 추가 확인)​​

  > 최초 개인정보 유출 정황: 2024년 10월부터 발생​

  > 피해 지역: 서울·경기·인천 등 수도권 중심, 강원 일부 지역에서도 접속 흔적 확인​

  > 기지국 접속 기록 분석: 약 4조 300억 건 중 분석 (2024년 8월 1일~2025년 9월 10일)
  > 결제 이력 분석: 약 1억 5,000만 건 분석

 

 - 서버 침해 피해

  > 침해 흔적: 4건의 서버 침해 흔적 확인

  > 의심 정황: 2건의 추가 의심 정황 확인

  > 침해 기간: 2019년, 2021~2022년, 2024~2025년에 걸쳐 서버 침해 시도 확인 (2023년 제외 매년 서버 침해)​

  > 구체적 피해 규모: 조사 중으로 공개되지 않음

 

 - 불법 펨토셀 ID 추가 발견 및 피해 규모 확대

  > 9월 17일 3차 전수조사 결과 발표

• KT는 조사 범위를 2024년 8월부터 2025년 9월까지 13개월로 확대하여 전수조사를 실시한 결과를 발표했습니다.
• 불법 펨토셀 ID가 기존 4개에서 총 20개로 증가했으며, 16개가 추가 발견되었습니다.
• 조사 대상은 약 1억 5천만 건의 결제 내역과 4조 300억 건의 기지국 접속 기록이었습니다.​
• 개인정보 유출 정황이 있는 고객은 2만 2,227명으로 확인되었으며, 최초 개인정보 유출 정황은 2024년 10월부터 발생한 것으로 드러났습니다
• 무단 소액결제 피해자는 368명(약 2억 4,320만원)으로 최종 집계되었습니다.​

 - BPFDoor 감염 서버 피해 (조사 진행 중)

• 감염 서버: 43대
• 유출 정보 규모: 미파악 (포렌식 진행 중)
• 소액결제와의 연계성: 조사 중

 

4. 유출항목

 - 펨토셀 해킹 유출 정보

  > 1차 신고(9월 11일): 5,561명의 IMSI(국제이동가입자식별번호)

  > 2차 신고(9월 18일): 추가 2만 30명의 IMSI, IMEI(국제단말기식별번호), 휴대폰 번호

  > 3차 조사(10월 17일): 총 2만 2,227명의 개인정보 유출 정황 확인​

 

 - 서버 침해 유출 정보

  > 구체적인 유출 정보는 공개되지 않음

  > 정부 조사를 통해 침해 서버 확정 및 구체적 침해 내용 규명 예정

 

5. 원인

 - 펨토셀 관리 부실

  > 과도한 규모와 관리 부재

  > KT 펨토셀 운영 규모**: 23만 2,000대

• SK텔레콤: 7,000대
• LG유플러스: 2만 8,000대

 

  > 고대역 주파수 특성: KT는 고대역 주파수 사용으로 통신 음영 해소를 위해 펨토셀 다수 운영

  > 방치 상태: 전체의 18.7%인 4만 3,000대가 3개월 내 사용 이력 없음

  > 회수 부실:

• 당초 약속 회수율: 18.8% (10월 17일 기준 8,190대만 회수)
• 분실: 1만 985대(25%)
• 회수거부/방문거부/무응답: 2만 4,331대
• 지역별 회수율: 서울 10.9%, 경기도 12.7%

 

 - 보안 체계 결함

  > 벤더인증키 동일 사용 (중대 결함)

• KT 펨토셀 18만 9,000대가 모두 하나의 동일 벤더인증키 사용
• 해커가 하나의 벤더인증키만 확보하면 KT 코어망에 자유롭게 접속 가능
• 개선 조치: 인증서 유효기간 10년 → 1개월로 단축, 펨토셀별 별도 인증서 발급

 

  > 10년 유효 인증 기간: 1번 접속 후 10년간 자동 접속 가능

  > 재인증 절차 부재: 보안 강화 조치 미적용 구형 모델 취약

  > 회수 제도 실패: 이사/해지 시 회수 미처리로 최근 5년간 3,000대 미회수

 

 - 불법 펨토셀 범행 수법 (고도화)

  > 장비 제작

• 구형 KT 펨토셀 + 소형 컴퓨터 + LTE 에그 + 배터리 조합
• 백도어 설치로 문자메시지·통화 감청 기능 추가

 

 - 인증서 탈취 및 복제

  > 핵심: KT 실제 운용 펨토셀의 인증 정보 탈취 → 불법 장비에 이식

  > 펨토셀 제조사 보안 부실: 셀 ID, 인증서, KT 서버 IP 등 중요 정보를 보안관리 체계 없이 외주사에 제공

  > 저장 장치 취약성: 펨토셀 저장 장치에서 중요 정보 쉽게 확인 및 추출 가능

 

 - 결제 인증 정보 탈취

  > 종단 암호화 해제 (이례적 공격 기법)

• 불법 펨토셀이 스마트폰과 코어망 사이 중간자 역할
• 종단 암호화 설정 과정에서 암호화 해제 가능

  > 평문 ARS/SMS 인증번호 획득

• 결제 정보 도용 및 무단 결제

 

 - 기술적 한계 (추가 조사 예정)

  > SMS/음성통화 탈취 가능 여부 조사 진행

  > PASS 등 타 인증 수단 영향 조사 예정

 

 - 센트럴 인프라 내부망 접속 인증 취약점

  > 비정상 IP 미차단: 타사 또는 해외 IP 차단 미실시

  > 형상정보 검증 부재: 펨토셀 제품 고유번호, 설치 지역정보 검증 미실시

  > 접속 제어 부실: 펨토셀 접속 시 기본적인 검증 절차 미흡

 

 - BPFDoor 악성코드 감염 (과거)

  > 감염 사실

• 감염 기간: 2024년 3월~7월
• 악성코드 종류: BPFDoor, 웹셸 등
• 감염 규모: 43대 서버
• 서버 유형: 펨토셀 관련 서버 포함
• 정보 저장: 성명, 전화번호, 이메일, 단말기 식별번호 등

 

 - 적발 및 은폐

  > 발견 방식: 포렌식 분석 중 백신 실행 흔적 발견

  > KT 대응: 자체 처리했다고 주장하나 구체 방식 미공개

  > 신고 현황: 당국에 신고하지 않음 → 법령 위반

  > 추가 피해 가능성: 소액결제 피해 정보 연계성 조사 중

 

 - 10년 전 경고 무시

  > KAIST 연구팀 (2014년)

• 펨토셀 해킹으로 휴대전화 도청, 문자메시지 가로채기 가능 확인
• 통신 3사에 제보했으나 적절한 대응 미실시

 

  > 미국 보안기업 (2013년)

• iSEC파트너스의 펨토셀 해킹 위험성 경고
• 대응 미실시

 

6. 대응

 - 민관합동조사단 활동 (9월 9일부터 운영)

  > 불법 펨토셀 관련 조치 (9월 10일)

   >> 신규 펨토셀 접속 전면 제한: 통신 3사 대상

   >> KT 인증서 관리 개선:

• 유효기간 10년 → 1개월 단축
• 펨토셀이 KT망 접속 시 유선 IP 외 차단
• 형상정보 확인 및 인증 강화
• 펨토셀 제품별 별도 인증서 발급

 

  > 기술적 취약점 검증

• 전문가 자문 및 테스트베드 실험 진행
• 문자/음성통화 탈취 가능 여부 추가 조사 예정
• 종단 암호화 해제 메커니즘 분석 진행

 

 - KT의 보상 조치 (10월 21일 이후)

  > 피해 고객 대상

• 위약금 면제 시행: 2025년 10월 22일~11월 30일
• 금전 피해 보상: 100% (2억 4,319만 원)
• 기기 지원: 유심 교체, 단말기 교체
• 보험 제공: 통신기기 연계 금융사기 피해 보상 '안심보험' 3년 무료 제공
• 모니터링: 무상 개인정보 모니터링 서비스
• 유심 교체: 서울 8개 구, 경기도 9개 시 청구 주소 기준 가입자 대상

 

  > 전체 고객 대상

• 사과 문자: 10월 21일 오후 6시부터 전체 가입자 대상 발송

 

  > 미결정 사항

• 전체 고객 위약금 면제: 민관합동조사단 최종 결과 후 법률 검토 거쳐 결정

 

 - CEO 책임론 및 조직 개편

  > 김영섭 대표:

• 국감에서 "사태 수습 후 CEO로서 사퇴 포함 책임 지겠다" 밝힘
• 2025년 11월 3일: 연임 포기, 새 CEO 선출 절차 시작

 

  > 구현모 전 대표:

• 국감 참고인 출석
• "펨토셀 취약점 발견 및 개선 미실시에 대해 사과"

 

 - 정부의 법적 조치 및 제도 개선
  > 현재 법적 조치

• 침해사고 신고 지연: 3,000만 원 이하 과태료 (2건)
• 서버 폐기 및 증거인멸: 형법 137조 수사 의뢰 (위계에 의한 공무집행 방해)
• 악성코드 신고 미실시: 추가 과태료 검토

 

  > 과징금 전망

• 최대 규모: KT 매출액 3% 해당 약 6,000억 원대 가능성 제시

 

  > 제도 개선안 추진 중

   >> 침해사고 신고 체계:

• 해킹 지연신고·미신고 시 과태료 상향
• 기업 신고 없이도 정부 직권 조사 가능하도록 법 개선 추진
• 해킹 신고 시 즉시 서버 확보 가능 시스템 구축

   >> 법적 근거: 국회 과방위에서 법안 발의 중 (조속 통과 예상)

 

7. 문제점

 - 기업의 적극적 은폐 및 부도덕한 행위
  > 서버 폐기 허위 보고: 폐기 시점 변경 (조직적 은폐 의혹)
  > 백업 로그 은폐: 약 2개월간 숨김 (증거인멸 의혹)
  > 악성코드 신고 미실시: 2024년 3월부터 7월간 미신고
  > 사건 이후 마케팅: SK텔레콤 사건 발생 후 KT가 보안 우수성을 마케팅에 이용한 부도덕성 지적

• 당시(7월) 기자간담회에서 "BPFDoor 공격 차단 철저, 경험 없음" 주장

 

 - 정보 은폐 및 축소 시도
  > 단계적 피해 규모 상향:

• 피해자: 278명 → 362명 → 368명
• 피해액: 1억 7천만 → 2억 4천만 → 2억 4,319만 원
• 유출자: 5,561명 → 2만 30명 → 2만 2,227

 

 - 기술적 취약점 심화
  > 사각지대 존재: 펨토셀과 무선 기지국이 ISMS-P 인증 범위에서 제외
  > 검사 체계 미흡: 중앙전파관리소와 한국방송통신전파진흥원의 무선기지국 검사는 성능과 전파 혼섭만 확인, 보안성 검증 미실시

 

 - 배후 세력 관련
  > 조직적 범죄 가능성: 검거 중국인 용의자들이 "윗선 지시에 따라 활동" 진술
  > 배후 분석:

• 중국 해커 그룹 가능성 높음 (고려대 정보보호대학원 분석)
• 소스 코드 중국어 주석, 중국 청명절·노동절 해킹 중단 패턴
• 북한 김수키 가능성은 낮음으로 판단

 

8. 국회 국정감사 (10월 21일)

 - 집중 질타 및 책임론 제기

  > 국회 과방위 국정감사에서 KT는 집중 포화를 받았습니다.

   >> 주요 쟁점은 다음과 같습니다:

• 위약금 면제: 김영섭 KT 대표는 피해 고객에 대한 위약금 면제는 즉시 시행하지만, 전체 고객 대상 면제는 민관합동조사단 결과를 보고 판단하겠다는 입장을 밝혔습니다.​
• CEO 책임론: 김영섭 대표는 "사태 수습 후 CEO로서 사퇴를 포함한 책임을 지겠다"고 밝혔습니다.​
• 과징금 전망: 이훈기 의원은 "KT의 경우 매출액 3%인 최대 6,000억원까지 과징금이 부과될 수 있다"고 지적했습니다.​​
• 구현모 전 대표 사과: 구현모 전 KT 대표는 참고인으로 출석하여 "3년간 CEO를 하면서 펨토셀 취약점을 발견하지 못하고 개선하지 못한 점에 대해 죄송하게 생각한다"고 사과했습니다.​

9. 기술적 경고 및 시사점

 - 펨토셀 기반 공격의 사례적 가치
  > 처음 적발: 펨토셀을 통한 대규모 종단 암호화 해제 사례
  > 이동통신망 무결성 위협: 단순 소액결제 인증 탈취 넘어 전 데이터 통신 위험 가능성
  > 광범위 영향: PASS 등 통신망 기반 인증 수단 전반의 안전성 재검토 필

 

 - 국내 통신망 관리 체계 개선 필요

  > 특화망 포함한 전반적 검토 필요
  > 보안 관리 사각지대 해소: 펨토셀·무선 기지국의 ISMS-P 포함 검토
  > 기업 자체 조사의 실효성 강화: SK 사례 이후에도 KT의 유사 위반 발생으로 제도 개선 시급

 

10. 최신 상황 (2025년 11월 6일 기준)

 - 정부 중간 조사 결과 공식 발표 (11월 5일)
  > 43대 서버 BPFDoor 감염 사실 공식 확인
  > 서버 폐기 허위 보고 및 백업 로그 은폐 공식 인정
  > 형법 위반 수사 의뢰 진행 중

 - CEO 교체 절차 진행 (11월 3일)
  > 김영섭 대표 연임 포기 선언
  > 새로운 CEO 선출 절차 진행 중

 

 - 펨토셀 회수 상황
  > 총 회수: 8,190대 (18.8%)
  > 여전히 미관리: 약 2만 4천 대 (분실, 회수거부, 무응답 등)