2025.11.06 KT BPFDoor 해킹 사건 요약

1. 개요

• KT는 2024년 3월부터 7월 사이 BPFDoor와 웹셸 등 악성코드에 감염된 서버 43대를 자체적으로 발견했음에도 불구하고 정부에 신고하지 않고 자체 처리한 사실이 2025년 11월 6일 민관합동조사단의 중간 조사 결과 발표를 통해 드러났습니다.
• 이후 2025년 12월 29일 최종 조사 결과 발표에서는 KT가 보유한 서버 3만3천대 중 94대가 BPFDoor, 루트킷, DDoS 공격형 코드 등 악성코드 103종에 감염되어 있었음이 확인되었습니다. 
• BPFDoor는 SK텔레콤 해킹 사건에서도 사용된 동일한 악성코드로, 시스템에 잠복했다가 특정 '매직 패킷'을 수신하면 활성화되는 은닉성이 매우 높은 리눅스 기반 백도어 악성코드입니다.

 

2. 피해 범위

 - 악성코드 감염 현황

• 2024년 3월~7월: 43대 서버 감염 (초기 발견)
• 2025년 최종 조사: 94대 서버 감염 (악성코드 103종)

 

 - 개인정보 유출

• 감염된 서버 일부에는 가입자의 개인정보가 저장되어 있었습니다. 
• 민관합동조사단은 악성코드 감염으로 인한 개인정보 유출과 불법 펨토셀을 통한 무단 소액결제 사건의 연관성을 확인했습니다.

 

 - 무단 소액결제 및 정보 유출 피해 현황

• 불법 펨토셀 접속 이용자: 2만2,227명
• 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 전화번호 탈취 피해
• 무단 소액결제 피해자: 368명
• 무단 소액결제 피해액: 2억4,319만원 / 2억4,300만원
• 피해 발생 기간: 2025년 8월1일~9월10일

 

3. 유출 항목

 - 민관합동조사단이 확인한 감염된 서버에 저장되어 있던 유출 가능 정보는 다음과 같습니다.

• 가입자 성명(이름)
• 전화번호
• 이메일 주소
• 단말기 식별번호(IMEI)
• 가입자 식별번호(IMSI)

 - 조사단은 유심 복제에 필요한 유심 키(USIM Key) 유출은 확인되지 않았다고 밝혔습니다.

 

4. 원인

 - 이반티 VPN 취약점

• BPFDoor 감염의 초기 진입로는 KT와 SK텔레콤 모두 사용했던 이반티(Ivanti) VPN 장비의 보안 취약점으로 추정됩니다. 
• 중국과 연계된 APT 그룹이 이 취약점을 악용해 KT 서버에 침투했을 가능성이 높습니다.

 

 - BPFDoor 악성코드의 특성

• BPFDoor는 네트워크 필터를 악용해 보안 설루션의 탐지를 우회하며, 평소에는 정상 시스템 프로세스처럼 위장해 잠복했다가 특정 매직 패킷을 수신하면 활성화됩니다. 
• 이로 인해 탐지가 극히 어렵습니다. BPFDoor는 BPF(Berkeley Packet Filter) 기술을 악용하여 커널 레벨에서 특정 트리거 패킷만 수신하며, 프로세스 이름 위장, 메모리 기반 복제 및 실행 은닉, 히스토리 기록 차단 등 다양한 Anti-Forensic 기술을 적용합니다.

 

•  - 중국 APT 그룹 관련성
  BPFDoor는 중국과 연계된 지능형 지속 공격(APT) 그룹인 'Red Menshen' 또는 'Earth Bluecrow'가 주로 사용해 왔습니다.
• 다만 2022년 소스코드가 GitHub에 공개되면서 현재는 누구나 변종을 개발할 수 있는 상태입니다.
• 트렌드마이크로 보고서에 따르면 중국 기반 APT 그룹이 2024년 7월과 12월 한국 통신사를 대상으로 BPFDoor 공격을 벌였습니다.

 

 - 펨토셀 관리 부실

• BPFDoor 감염 외에도 KT의 펨토셀 관리 체계가 근본적으로 부실했음이 확인되었습니다. 
• KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용했고, 인증서 유효기간이 10년으로 설정되어 있어 한 번 인증서를 탈취하면 장기간 불법 접속이 가능했습니다.

 

5. 대응

 - KT의 자체 조치

• KT는 감염 사실을 발견한 후 정부 신고 없이 백신 프로그램을 실행하여 악성코드를 자체 삭제했습니다. 
• 조사단이 백신 실행 흔적을 추적함으로써 이 사실이 최근에 드러났습니다.

 

 - 정부 및 조사단의 대응

• 6월 과학기술정보통신부와 한국인터넷진흥원(KISA)이 KT와 LG유플러스를 점검했을 때 BPFDoor 침해 흔적을 찾지 못했는데, 이는 KT가 이미 악성코드를 삭제한 후였기 때문입니다. 
• 민관합동조사단은 KT의 포렌식 분석을 통해 2024년 8월 1일 이전 통신기록이 없는 소액결제 피해도 일부 있는지 검증했습니다.

 

 - 유심 교체 대응

• KT는 조사 결과 발표 이후 전 가입자를 대상으로 유심 교체를 시작했으며, 250만 개의 유심을 보유하고 추가로 200만 개를 확보해 교체 작업에 차질이 없도록 했습니다.

 

 - 보안 재발 방지 조치

• 과학기술정보통신부는 KT에 서버 등 네트워크가 연결되는 장치에서 발생하는 모든 활동을 감지 분석하는 도구(EDR), 백신 등 보안 설루션 도입을 확대하라고 요구했습니다. 
• 또한 KT에 재발 방지 이행 계획을 2026년 1월까지 제출하도록 하고 6월까지 이행 여부를 점검할 계획입니다.

 

6. 문제점

 - 신고 의무 위반

• KT가 악성코드 감염 사실을 자체적으로 파악했음에도 불구하고 정부에 신고하지 않은 행위는 정보통신망법 위반으로, 3,000만원 이하의 과태료 부과 대상입니다. 
• 추가적으로 서버 폐기 시점 허위 보고, 백업 로그 미제출 등 조사 방해에 대해서는 위계에 의한 공무집행방해 혐의로 수사기관에 수사 의뢰가 이루어졌습니다.

 

 - 은폐 기간의 장기화

• KT는 2024년 3월부터 감염 사실을 파악하고도 2025년 11월에 조사단에 의해 적발될 때까지 약 1년 6개월간 사건을 은폐했습니다.

 

 - 초기 조사 회피

• 민관합동조사단이 6월에 KT를 점검했을 때 BPFDoor 침해 흔적을 찾지 못했으나, 최근 백신 사용 흔적을 발견한 후 KT가 뒤늦게 자료를 제출했습니다. 
• 조사단 관계자는 "KT가 비협조적이었으며, 적극적으로 자료를 제공하지 않았다"고 언급했습니다.

 

 - 정보 제출 불일치

• 당국은 통합 서버 접근제어 솔루션(APPM)과 연결된 정보의 실제 유출을 확인했으나, 익명 제보자가 제공한 자료와 회사가 제출한 자료가 서로 다르다는 사실을 파악했습니다.

 

 - 보안 점검 미흡

• 조사단은 KT가 악성코드뿐 아니라 쉽게 탐지가 가능한 웹셸도 발견하지 못하는 등 보안 점검이 미흡했다고 지적했습니다.

 

 - 형평성 논란

• KT는 동일한 방식의 해킹을 당했음에도 SK텔레콤처럼 영업 정지 조치를 받지 않았으며, 해킹 사실을 은폐하면서도 별다른 제재를 받지 않은 상태에서 SK텔레콤 가입자 유치 등의 마케팅을 진행했다는 지적이 있습니다.

 

 - 위약금 면제 조치

• 과학기술정보통신부는 2025년 12월 29일 KT가 계약상 주된 의무인 안전한 통신서비스 제공 의무를 다하지 못했으며, 평문의 문자와 음성 통화가 제3자에게 새어나갈 위험성이 소액결제 피해를 본 일부 이용자에 국한되지 않고 전체 이용자에 해당한다고 판단했습니다. 
• 이에 따라 KT 이용약관상 '기타 회사의 귀책 사유'에 해당하는 것으로 결정되어 전체 이용자를 대상으로 위약금을 면제하도록 요구했습니다.