KT 서버에서 2018년부터 올해까지 거의 매년 침해 흔적 내지 침해 의심 정황이 발견된 것으로 확인됐다. KT는 어떤 서버가 침해됐는지 외부 보안업체의 전수조사를 통해 파악했지만 자세한 내용은 공개할 수 없다는 입장이다. 연이은 피해 규모 번복과 은폐 의혹으로 비판 받는 KT가 보안과 관련된 정보를 투명하게 공개하지 않고 있다는 지적이 나온다.
23일 국회 과학기술정보방송통신위원회 소속 더불어민주당 이정헌 의원이 한국인터넷진흥원(KISA)으로부터 보고받은 내용에 따르면 KT 서버는 2018년부터 올해까지 침해 흔적이나 의심 정황이 6건 있었다. KT가 SK텔레콤 해킹 사태 이후 외부 보안업체에 서버 전수조사를 맡긴 결과다. 해당 업체는 2018년과 2020년 운영 중이던 서버 2대에서 침해 의심 정황을 발견했고 2019년과 2021~2022년, 2024~2025년 서버 4대에서 침해 흔적을 포착했다. 2023년을 제외하고는 매년 서버 침해 시도가 있었고, 실제 침해 흔적까지 나온 것이다.
KISA는 침해 가능성이 있는 서버가 중복되는지 여부는 확인이 필요하다면서도 침해 방법은 SK텔레콤 해킹 당시 발견된 악성코드 ‘BPF 도어’ 방식은 아니라고 설명했다. SK텔레콤 해킹 이후 KT와 LG유플러스를 대상으로도 악성코드 여부를 조사했는데, 당시 발견되지 않았기 때문에 다른 종류의 침해로 분석하고 있는 것으로 풀이된다.
다만 KISA는 구체적으로 어떤 서버가 침해됐는지 등 조사 내용은 KT 측의 동의 없이 공개할 수 없다는 입장이다. KT는 외부 조사 결과에 대해 알지 못한다고 의원실에 답했다. 지난 19일 KISA에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다고 밝히고도 그 내용을 알지 못한다는 입장을 낸 것은 앞뒤가 맞지 않는다는 비판이 나온다. 경찰청 국가수사본부 사이버테러수사대는 KT 서버 침해 정황에 대한 내사(입건 전 조사)에 착수했다. 경찰은 KT가 KISA에 신고한 서버 침해 정황을 들여다보고 있다.
이정헌 의원은 “KT가 외부에 맡겨 부랴부랴 전수조사한 결과 이미 2018년부터 거의 매년 서버가 해킹당했다는 정황이 포착됐다”며 “KT는 관련 자료를 투명하게 공개하고 당국은 신속 정확한 조사로 진상을 밝혀야 한다”고 말했다.
당국이 이미 13년 전 펨토셀의 보안 취약성에 대해 연구를 진행하고도 대응 및 제도화에 소홀했다는 지적도 나왔다. 국민의힘 이상휘 의원에 따르면 KISA는 2012년 수행한 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에서 펨토셀이 가질 수 있는 보안 위협 29가지를 제시했다. 연구 보고서가 지목한 펨토셀 보안 위협 중에는 KT 소액결제 피해의 원인으로 지목되는 사례도 있었다. 사용자 인증 토큰 복제나 통신을 주고받는 두 주체 사이 공격자가 몰래 개입해 정보를 가로채거나 조작하는 중간자(MITM) 공격이다.
심희정 기자 simcity@kmib.co.kr