[보안뉴스 한세희 기자] KT가 SK텔레콤 유심 해킹에 쓰인 ‘BPF도어’ 악성코드에 지난해 감염됐음에도 이를 신고하지 않았던 것으로 드러났다. (본지 2025년 5월 21일 ‘[단독] SKT 공격한 악성코드 BPF도어, KT 서버도 침투했나’ 기사 참조)

KT 침해사고 민관합동조사단은 6일 정부서울청사에서 열린 중간 조사 결과 브리핑에서 “KT가 2024년 3-7월 BPF도어(BPFDoor)와 웹쉘 등 악성코드에 감염된 서버 43대를 발견했으나 정부에 신고하지 않고 자체 조치했다”고 밝혔다.

일부 감염 서버엔 이름과 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 정보가 저장돼 있었다.


▲최우혁 과기정통부 네트워크정책실장이 6일 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다. [자료: 연합]

조사단은 이 사안을 엄중히 보고, 조사 후 관계 기관에 합당한 조치를 요청할 계획이라고 밝혔다. 침해 사실을 신고하지 않으면 정보통신망법에 의해 3000만원 이하 과태료를 받을 수 있다.

앞서 6월 과학기술정보통신부와 한국인터넷진흥원(KISA)은 KT와 LG유플러스 점검 결과 BPF도어 침해 흔적을 찾지 못했다고 밝힌 바 있다. KT가 BPF도어를 지우는 과정에서 남은 백신 사용 흔적을 추적해 이번에 사실을 확인할 수 있었다고 조사단은 밝혔다.

최우혁 과기정통부 정보보호네트워크정책실장은 “KT BPF도어 감염 사실은 최근에 발견해 이제 자료를 받은 것이라 조사를 더 해야 한다”며 “그 서버들에 얼마만큼의 정보가 있는지, 어떠한 공격을 받았는지, 공격자가 SKT 공격과 연관성이 있는지 등은 아직 이야기하기 어렵다”고 말했다.

BPF도어는 4월 SKT 유심 정보 해킹 사고에 쓰인 악성 프로그램이다. 시스템에 잠복해 있다 미리 정해진 특정 ‘매직 패킷’(Magic Packet)을 수신하면 활성화되는 구조다. 일반적 보안 수단을 우회해 은닉할 수 있어 탐지가 어렵다.

BPF도어는 중국과 연계된 지능형 지속 공격(APT) 그룹 ‘레드 멘션’이 주로 사용했다. 현재는 오픈소스로 풀려 있어 이를 활용한 공격을 이들과 단정적으로 연계하긴 어렵다.

<보안뉴스>는 앞서 정보보호 기업 트렌드마이크로가 2024년 7월과 12월 두 차례에 걸쳐 한국 통신 기업에 대한 BPF도어 공격을 포착한 사실을 보도했다. 팀T5 역시 중국 APT 집단이 이반티 VPN 제품 취약점을 악용해 한국, 미국, 영국 등 12개 선진국 통신, 자동차 등 산업계에 침투했다고 밝힌 바 있다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>