[서울=뉴스핌] 김영은 인턴기자 = 'KT도 SK텔레콤(SKT)과 같은 악성코드 공격을 받았다'는 주장에 대해 KT 측은 "해당 악성코드를 통한 공격을 받은 적이 없다"고 23일 밝혔다.

KT 관계자는 이날 통화에서 "'BPF도어(BPFDoor)' 악성코드를 통한 공격을 받은 적이 없다"고 설명했다.

BPF도어(BPFDoor) 악성코드는 통신사의 운영체제(리눅스) 중앙관리자(커널)의 '버클리 패킷 필터(BPF)' 기술을 악용해 '몰래 침투하는'(백도어) 악성코드다. 버클리 패킷 필터 기술은 해커가 특정 신호를 감지해 보안망을 우회하는 데 주로 악용되는 해킹 수법이다.

[서울=뉴스핌] 최지환 기자 = 경찰청 국가수사본부는 SKT 유심 정보 유출 해킹 사건에 대해 피의자를 아직 특정하지 못했고, 특정하기 위해 노력하고 있다고 밝혔다. 사진은 SK텔레콤이 유심 무료교체 서비스를 시작한 지난달 28일 서울 강서구 김포공항 국제선 SKT 로밍센터에서 고객들이 유심교체를 위해 줄을 서 있는 모습. choipix16@newspim.com

지난 19일 SKT 해킹 사태 민·관 합동조사단은 SKT 침해 사고에 사용된 BPF도어 변종 24종을 포함한 총 25종의 악성코드를 공개했다.

조사단은 "2022년 6월 15일을 전후해 SKT 유심 서버에서 BPF도어 활동이 시작된 정황을 확인했다"며 "현재까지 BPF도어 계열 변종 24종과 웹셸 1종 등 총 25종의 악성코드가 발견해 조치했다"고 밝혔다.

[서울=뉴스핌] 김영은 인턴기자 = 글로벌 사이버 보안 기업 트렌드마이크로의 보고서 '아시아 및 중동 공격에 활용되는 BPF도어의 배후(BPFDoor's Hidden Controller Used Against Asia, Middle East Targets)'에 따르면 한국 통신 기업(Telecommunications)은 2024년 7월과 12월에 각각 BPF도어 공격을 당한 것으로 탐지됐다. 해당 결과는 온라인에서 피해 기업이 KT가 아니냐는 의혹의 근거로 쓰였다. 2025.05.23 yek105@newspim.com

이에 통신업계에서는 SKT와 같은 장비를 쓰는 것으로 알려진 KT도 지난해 BPF도어 악성코드 공격을 받은 것 아니냐는 의혹이 제기됐다. 의혹을 제기한 매체는 "KT도 SKT와 같은 악성코드에 공격당했던 것으로 드러났다"며 "글로벌 사이버 보안 기업 트렌드마이크로의 보고서('아시아 및 중동 공격에 활용되는 BPF도어의 배후')에 따르면 한국 통신 기업은 2024년 7월과 12월에 각각 BPF도어 공격을 당한 것으로 탐지됐다"고 보도했다.

대만의 한 사이버 보안 기업(TeamT5)도 SKT 사태 이후 "중국과 연계된 해커 그룹이 이반티사의 VPN 취약점을 이용해 한국 등 12개국, 통신 등 20개 분야 기관에 침투했다"고 주장했다.

◆ "KT도 털렸나?"…SNS 의혹에 KT "VPN 정보, 공개 불가"

[서울=뉴스핌] 김영은 인턴기자 = X(구 트위터)에서 KT가 BPF도어 악성코드 공격을 받았다는 의혹이 퍼지고 있다 [사진=X캡처] 2025.05.23 yek105@newspim.com

이 같은 주장을 기반으로 소셜미디어(SNS)에서는 KT가 SKT와 같은 악성코드 공격을 받았다는 의혹이 일파만파 퍼졌다. 이날 X(구 트위터)에서 해당 의혹을 담은 게시글은 총 120만회의 조회수를 기록했고, 총 1만 5000회 공유됐다. 의혹을 공유한 또다른 계정은 "KT도 (악성코드 피해를 겪었나)?"등의 의문을 제기했고, 이후 "기사화만 안 됐지 엘지(LGU+)도 다름 없겠다", "너나할 것 없이 다 털렸겠다" 등의 댓글이 달렸다.

이 같은 의혹을 부인한 KT 관계자는 "(KT와 같은 이반티 VPN을 쓰는지 여부 등) 내부 네트워크 인프라나 솔루션의 경우 민감한 보안 영역이라 구체적인 공개는 어렵다"며 "관련 정보 자체가 해커 등에게는 다 소스가 될 수 있어서 KT의 보이스피싱이나 보안 관련 보도자료에서도 제품명이나 수치 등의 상세 내용은 명기하지 않고 있다"고 설명했다.

또 다른 통신사인 LG유플러스 관계자도 "공개된 장비 브랜드가 새로운 사이버 위협의 타깃이 될 수 있기에 공급사를 말씀드리기 어렵다"고 밝혔다. 다만 LGU+ 관계자는 "(최근) 문제가 된 이반티 VPN은 전혀 사용하지 않고 있다"고 강조했다.

전문가는 KT 등 타 통신사가 SKT와 동일한 장비를 사용하더라도, 각 사의 보안 체계와 대응 역량에 따라 해킹 피해 여부는 달라질 수 있다고 짚었다.

엄흥열 순천향대 정보보호학과 교수는 "같은 VPN 장비를 쓰고 있으므로, 같은 악성코드 공격을 당했다는 주장은 억측일 수 있다"며 "가령 '엔드포인트 탐지 및 대응(EDR)'과 같은 보안 솔루션을 적용했는지 여부에 따라 피해 여부도 달라질 수 있기 때문에, 통신사별 대응 체계를 면면히 따져보면서 피해 정황을 정확히 확인할 필요가 있다"고 지적했다.

김환국 국민대 정보보안암호수학과 교수도 "VPN 장비 등과 같은 정보자산과 보안 취약점 관리 상황, 악성코드의 관계를 종합적으로 조사하고 분석해야 한다"며 "KT가 VPN 장비를 사용하더라도 해당 장비에 악용되는 보완 취약점을 KT가 제거했는지 여부도 확인되지 않았기 때문에 SKT와 동일한 악성코드 공격에 감염됐다고 단정할 수 없다"고 말했다.

민관합동조사단은 트렌드마이크로의 보고서에 언급된 통신 기업을 특정하지 않고 있다. 최우혁 과기정통부 정보보호네트워크정책관은 브리핑에서 "트렌드마이크로에 확인을 요청했지만, 트렌드마이크로에서 국내 특정 통신사에 대한 언급은 없었다"고 밝혔다.

과기부 관계자는 이날 "정보통신망법상 해킹 등 사고가 발생하면 신고해야 하지만, 현재까지 보고서에 기록된 내용과 관련해 KT 등의 신고가 들어오지는 않은 상황"이라며 "그렇기 때문에, 제기된 의혹에 따라 해당 기업이 KT라고 단정할 수 없다"고 설명했다.

정부는 지난주 전국 6000여개 기업에 '사이버 위협 대응 강화' 공문을 발송하고, SKT 침해사고에서 발견된 악성코드에 대한 점검과 모니터링을 요청한 상황이다.

통신 3사 역시 해킹 사고 이후, 지능형 지속 공격(APT) 등 고도화된 해킹 위협에 공동 대응하기로 하고, 화이트해커 집단과 협력해 네트워크 전반에 대한 진단을 진행하고 있다. 앞으로도 공동 보안 협의체를 통해 정보 공유와 신속 대응 체계를 구축하고, 개별 내부 보안도 강화할 예정이다.

보안 강화 상황과 관련해 KT 관계자는 "현재 보안 관련 대비 및 강화 조치로 비정상적인 기기변경 추적·차단 시스템 고도화, 유심정보 암호화, 방화벽 강화, 유심보호서비스 등 고객 정보 보안에 최선을 다하고 있다"며 "주요 시스템의 보안 취약점 발굴 및 선 조치를 통한 정보유출 리스크 제거 목적으로 보안취약점 신고 포상제도인 버그바운티 등도 시행 중인 상황"이라고 말했다.

LGU+ 관계자도 "최근 SKT사태 이후에도 주요 서비스에 긴급 모의해킹을 진행했다"며 "고도화되는 사이버 위협에 맞서기 위해 '위협 인텔리전스 솔루션'을 가동하고, 사내 보안 컨트롤타워인 정보보안센터에서 24시간 실시간 감시를 진행 중"이라고 밝혔다.

yek105@newspim.com