KT微基站被黑客入侵，政府称“应免除全体用户违约金”

by Park Eugenie

Published 29 Dec.2025 14:00(KST)

Updated 29 Dec.2025 14:09(KST)

open/close

民官联合调查团29日公布最终调查结果
通过非法微型基站接入内部网络…截取电话语音认证和短信验证码
5家法律顾问中有4家称“KT违反合同中的主要义务”

韩联社

围绕KT的微型基站（Femtocell）被黑客入侵事件，政府作出正式判断，认为可以为用户免除违约金。相关依据是：一方面已确认存在允许非法微型基站接入的结构性管理失误，另一方面法律意见认为，KT违反了“提供安全通信服务”这一合同中的主要义务。

科学技术信息通信部29日发布了关于KT侵害事故的官民联合调查团最终调查结果，并表示，已判断该事故属于KT使用条款中的“公司可归责事由”，因此可以适用免除违约金的规定。

调查团就本次事故，对KT约3.3万台服务器进行了6次恶意代码感染排查，并对确认感染的服务器开展取证等精密分析，以确认是否发生包括信息泄露在内的损害。

同时，调查团还对KT在去年10月17日发布的受害规模进行了重新验证，就其测算方式的适当性以及是否存在漏算受害者进行复核。结果确认，由于非法微型基站，2万2227名用户的国际移动用户识别码（IMSI）、终端识别码（IMEI）和电话号码被泄露，另有368人（777笔）遭到未经授权的小额支付，总计受害金额达2.43亿韩元。这一数字与KT自行测算的结果一致。不过，调查团表示，由于2024年7月31日之前的通信支付相关数据已不再保存，无法确认该期间是否还存在追加受害。

对事故原因的分析结果显示，非法微型基站本身能够接入KT内部网络的结构性漏洞暴露出来。警方获取的非法微型基站经取证分析发现，该设备中存有接入KT网络所需的认证书和认证服务器IP信息，并内置了可将经过该小区的通信流量转发至第三地点的功能。

攻击者复制了KT的微型基站认证书和服务器IP信息后接入内部网络，随后发射非法微型基站的电波，强制使原本连接至正常基站的用户终端转而挂接到非法微型基站。通过这一方式，攻击者窃取了受害者的电话号码、IMSI、IMEI等信息，并将这些信息与通过不明渠道获取的个人信息相结合筛选受害者，随后在礼品券购买网站上截取自动语音应答（ARS）和短信（SMS）认证信息，实施了未经授权的小额支付。

调查团认为，在这一过程中，KT整体信息安全体系存在诸多问题。在微型基站的制造与引进阶段，缺乏针对认证书、服务器IP、小区标识（Cell ID）等的安全策略，用于探测和阻断非法微型基站接入的体系也十分薄弱。

据此，调查团要求KT采取技术和管理层面的再发防止对策，包括：落实微型基站安全启动功能、定期变更并保密管理认证服务器IP、强化异常流量监测、通过与白帽黑客合作挖掘漏洞等。同时，还要求确保从用户终端到核心网的端到端加密（IPSec）不被解除，并建立对异常信令流量的常态化监控体系。

此外，调查团要求在微型基站认证与注册系统中引入防火墙等安全设备，将运营系统日志至少保存1年以上，并建立集中日志管理体系。在信息保护治理方面，要求通过组织架构调整，使信息保护最高负责人（CISO）能够统筹全公司的安全政策，并制定中长期安全规划。为强化全公司资产管理，将指定信息技术最高负责人（CIO），引入资产管理解决方案，并构建覆盖微型基站全供应链的安全管理体系，这些也被纳入再发防止对策。

调查还确认存在违法行为。KT在今年9月5日察觉到未经授权小额支付的异常迹象，却直到8日才报告侵害事故；即便在外部安全公司检查中确认存在侵害痕迹后，仍然延迟了报告。2024年发现包括BPF后门在内的恶意代码时，也未进行报告。对此，政府计划依据《信息通信网法》处以最高不超过3000万韩元的罚款。

基于上述调查结果，科学技术信息通信部又经过5家法律顾问机构的意见，审查了免除违约金规定的适用与否。结果显示，其中4家法律顾问机构认为，KT在微型基站管理上的失误构成对“提供安全通信服务”这一合同主要义务的违反，并提出可以适用免除违约金规定的意见。