[뉴스토마토 이지은 기자] 지난해 악성코드에 감염됐던 서버 43대에 대해 당초 KT(030200)가 사실은 은폐한 것으로 드러났습니다. 민관합동조사단이 악성코드를 지운 흔적을 찾아 이를 추궁해 관련 사실을 확인했습니다. 추가적인 해킹 사실이 드러나면서 추가적인 정보 유출이 나올지 우려되는 상황입니다. KT는 해당 사실에 대해 사과했는데요. 전사적으로 보안 대응 체계를 구축하고 있다는 입장입니다. 

 

민관합동조사단장을 맡고 있는 최우혁 과학기술정보통신부 네트워크정책실장은 6일 진행된 KT 침해사고 중간결과 발표 브리핑에서 "43대 서버에 BPF도어는 이미 지워져 있었다"며 "포렌식을 하면서 BPF도어를 검출하는 백신을 돌린 흔적을 발현하면서 추가적 서버 감염을 확인했다"고 말했습니다. 

 

 

조사단은 이날 조사단은 KT가 2024년 3~7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 처리한 사실을 확인했습니다. 일부 감염 서버에는 고객 이름·전화번호·이메일·IMEI 등이 저장돼 있었던 것으로 나타났습니다. 

 

악성코드 삭제 흔적을 발견한 서버는 소형 기지국(펨토셀)과 관련된 서버라는 것이 조사단의 설명입니다. 

 

이번에 발견된 43개 서버 외에서도 악성코드가 발견될 가능성도 열려있습니다. 최우혁 실장은 "SK텔레콤(017670)의 경우에도 문제가 된 서버를 조사하면서 들여다보니 연계된 서버를 발견하면서 확대됐다"면서 "조사단의 요청에 KT가 32대에 대한 자료를 보고했는데, 포렌식 조사를 하다가 보면 더 확대될 수도 있다"고 말했습니다. 

 

조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문과 추가 실험 등을 통해 조사할 방침입니다. 이번 중간조사에서는 암호화가 해제된 상태에서는 불법 펨토셀이 ARS, SMS 등 결제를 위한 인증정보를 평문으로 얻어낼 수 있다는 점이 드러났습니다. 조사단은 "적은 수이긴 하지만 기지국 접속 이력이 남지 않은 소액결제 피해도 일부 있었다"며 "누락된 피해자 존재 여부도 확인할 계획"이라고 설명했습니다. 

 

 

KT는 이번 정부의 중간발표에 대해 "중간 조사 결과를 엄중하게 받아들인다“며 ”악성 코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 무단 소액결제 관련 침해 사고에 대해 지연 신고한 것 등에 대해 송구하다"고 발표했습니다. 정부 합동조사단과 관계 기관의 조사에 긴밀히 협력해 사실관계를 규명하는 데 최선을 다하겠다고도 했습니다. 

 

KT는 고객 신뢰 회복과 재발 방지를 최우선 과제로 삼고, 모든 고객 보호 프로세스와 네트워크 관리 체계를 전면 재점검하고 있습니다. 특히 펨토셀의 제작부터 납품, 설치, 미사용 장비의 차단과 회수, 폐기에 이르기까지 전 과정에 걸친 펨토셀 관리 체계를 대폭 강화했습니다. 모든 펨토셀의 인증서를 폐기 후 새로 발급하고, 인증 절차를 강화해 정상 장비 여부를 매일 점검하고 있습니다. 

 

KT는 "고객센터로 접수되는 문의와 수사 기관을 통해 수집된 데이터를 비롯해 네트워크 및 IT·보안 인프라에서 발생하는 모든 데이터를 하나의 통합 관제 체계에서 관리하고 있다"며 "이를 통해 이상 징후가 발생하면 즉시 탐지해 원인을 분석하고, 고객 피해가 발생하기 전에 사전 차단 대응하는 전사 신속 대응 체계를 구축해 가동 중"이라고 말했습니다. 

 

이지은 기자 jieunee@etomato.com