MSIT Menyimpulkan Pelanggaran Keamanan KT Berakar dari Manajemen Femtocell yang Lalai

Kementerian Sains dan Teknologi Informasi (MSIT) secara resmi mengumumkan hasil akhir penyelidikan mereka mengenai insiden keamanan yang menimpa KT Corp. pada hari Senin, 29 Desember 2025. Penyelidikan mendalam ini menyimpulkan bahwa kerentanan utama berasal dari pengawasan dan protokol manajemen infrastruktur femtocell milik operator seluler tersebut yang dinilai sangat kurang. Femtocell, yang merupakan stasiun pemancar kecil untuk meningkatkan jangkauan lokal, menjadi titik lemah. Kelalaian sistemik ini menciptakan celah yang dapat dieksploitasi, memungkinkan masuknya femtocell ilegal yang kemudian berhasil menembus arsitektur jaringan internal milik KT secara tidak sah.

Kecolongan keamanan ini membuahkan dua dampak signifikan: memfasilitasi transaksi pembayaran seluler tanpa izin dan menyebabkan paparan data pelanggan dalam skala besar. Dari sisi finansial, kerugian akibat pembayaran mikro yang tidak sah mencapai total 243 juta won, setara dengan sekitar 167.000 USD, yang menimpa 368 pengguna yang terkonfirmasi. Namun, cakupan kompromi data jauh lebih luas, memengaruhi 22.227 pengguna. Identitas pribadi mereka, termasuk nomor ponsel, Nomor Identitas Pelanggan Seluler Internasional (IMSI), dan Nomor Identitas Peralatan Seluler Internasional (IMEI), berhasil dieksfiltrasi oleh pihak tidak bertanggung jawab.

Analisis forensik yang dilakukan oleh tim gabungan pemerintah dan swasta menyoroti cacat fatal pada mekanisme otentikasi perangkat. Secara spesifik, semua femtocell yang dikeluarkan oleh KT berbagi sertifikat digital yang sama, yang dikeluarkan oleh pabrikan dan memiliki masa berlaku yang sangat panjang, yaitu hingga sepuluh tahun. Konfigurasi ini berarti bahwa begitu penyerang berhasil menyalin satu sertifikat tersebut, akses jaringan ilegal dapat dipertahankan hampir selama satu dekade. Selain itu, investigasi menemukan adanya infeksi malware internal yang masif, mengidentifikasi 94 server KT terinfeksi oleh 103 jenis kode berbahaya yang berbeda, termasuk BPFDoor dan Rootkit. Beberapa infeksi ini bahkan tercatat sudah ada sejak April 2022.

MSIT pada akhirnya menyimpulkan bahwa KT terbukti gagal memenuhi kewajiban kontraktual mereka untuk menyediakan layanan yang aman, menempatkan seluruh pelanggannya dalam risiko ancaman yang nyata. Insiden ini mengikuti jejak pengawasan sektor yang ketat, mengingat rekan KT, SK Telecom, sebelumnya juga pernah didenda sebesar 134,8 miliar won atas pelanggaran data mereka sendiri. Kementerian telah memerintahkan KT untuk segera menerapkan peningkatan keamanan yang ketat. Ini termasuk rotasi alamat IP server otentikasi secara berkala dan pembentukan sistem deteksi yang kuat untuk koneksi femtocell yang tidak sah. KT diwajibkan menyerahkan rencana perbaikan komprehensif dalam waktu satu bulan, dengan inspeksi lanjutan oleh pemerintah dijadwalkan pada Juni 2026 untuk memverifikasi kepatuhan.

Mengingat parahnya kegagalan keamanan ini, MSIT mengisyaratkan bahwa operator seluler secara umum mungkin akan segera menghadapi arahan untuk menghapuskan biaya pembatalan bagi pengguna yang beralih ke penyedia layanan lain. Secara terpisah, pihak penegak hukum dilaporkan telah menangkap dua warga negara Tiongkok terkait aspek penipuan keuangan dalam kasus ini. Dalam perkembangan paralel, MSIT melaporkan adanya hasil yang menghambat dalam investigasi terpisah mengenai kebocoran data di LG Uplus Corp., yang pertama kali diumumkan pada Juli 2025. Kementerian menyatakan bahwa LG Uplus telah melakukan tindakan yang tidak patut dengan menyerahkan dokumentasi palsu dan menginstal ulang sistem operasi pada server yang terdampak setelah menerima panduan dari Badan Keamanan dan Jaringan Internet Korea (KISA). Tindakan ini sangat menghambat proses investigasi forensik yang menyeluruh. Meskipun kebocoran informasi dari solusi manajemen kata sandi terintegrasi LG Uplus, APPM, telah terkonfirmasi, penghalangan ini mendorong MSIT untuk secara resmi meminta penyelidikan polisi terhadap LG Uplus atas dugaan menghalangi tugas resmi.

Beberapa server kunci di jalur jaringan telah diinstal ulang atau dibuang antara tanggal 12 Agustus hingga 15 September, setelah KISA memberikan panduan intrusi pada 19 Juli. Menteri Sains Bae Kyung-hoon menekankan betapa seriusnya situasi ini, menegaskan bahwa keamanan informasi adalah prasyarat mendasar bagi kelangsungan hidup perusahaan dan pemeliharaan ekosistem layanan yang tepercaya bagi bangsa. Tindakan regulasi yang sedang berlangsung ini menandakan peningkatan komitmen dari pemerintah Korea Selatan untuk menegakkan akuntabilitas dalam keamanan infrastruktur vital negara.