KT

유출된 개인정보 항목

사고 경위

2025년 9월 8일, KT는 소액결제 피해자의 통화기록 분석 중 KT 내부망에 무단으로 접속한 불법 펨토셀을 발견하고 한국인터넷진흥원(KISA)에 침해사고를 신고했다.

공격자는 KT 펨토셀 인증서를 복사한 불법 기기를 KT 내부망에 접속시킨 뒤 강한 전파를 방출해 인근 이용자의 단말기를 불법 펨토셀에 연결시켰다. 이를 통해 22,227명의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI), 전화번호가 유출됐고, 368명(777건)은 탈취한 인증정보(ARS·SMS)로 무단 소액결제 피해 2억 4,300만 원이 발생했다.

과기정통부 민관합동조사단이 KT 전체 서버(약 3.3만 대)를 점검한 결과 94대에서 BPFDoor, 루트킷, 백도어 등 악성코드 103종이 발견됐다. 이 중 41대는 2024년 3~7월 KT가 자체 발견했음에도 법적 신고 의무를 어기고 미신고한 것으로 확인됐다. 악성코드 감염 서버에 이름·전화번호·이메일이 저장되어 있었으나, 로그 보관 기간(1~2개월)이 짧아 유출 여부 확인이 불가능했다.

조사 결과 KT의 펨토셀 보안 관리 부실이 과실로 인정됐고, 과기정통부는 KT 전체 이용자를 대상으로 이용약관상 위약금 면제 규정이 적용된다고 판단했다. 아울러 조사 방해(서버 폐기 일시 허위 제출) 혐의로 수사 의뢰가 이루어졌다.

처분 결과

과태료 부과 예정(3천만원 이하), 조사 방해로 경찰 수사 의뢰