24일 국회 과학기술정보방송통신위원회에서 열린 이동통신사 3사와 롯데카드에서 잇따라 발생한 해킹 사태에 대한 청문회에 김영섭 KT 대표이사와 조좌진 롯데카드 대표가 증인으로 출석하고 있다. 한수빈 기자

KT가 원격상담서비스 서버 해킹 의심 정황을 두 달 전에 확인했던 것으로 나타났다.

국회 과학기술정보방송통신위원회가 24일 개최한 KT·롯데카드의 무단 소액결제 및 해킹 사태 청문회에서 KT 측은 “원격상담서비스 서버 의심 정황을 7월22일 보고받았다”고 밝혔다.

KT의 서버 해킹 의혹은 지난 8월 해킹전문 매체 ‘프랙’의 보도로 시작됐다. ‘프랙’은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 KT, LG유플러스와 한국 주요 정부기관에 지속적으로 해킹 공격을 가했다고 보도했다. ‘프랙’에 따르면 KT의 경우 원격상담시스템에 사용된 인증서와 개인키가 ‘김수키 서버’에서 발견됐다.

KT 측은 그간 해킹 의혹은 전면 부인해오다가 지난 18일에서야 “외부 업체 조사에서 해킹 침해 흔적 4건과 정황 2건이 발견됐다”며 한국인터넷진흥원에 신고했다.

KT 측은 이날 과학기술정보방송통신위원회 소속 한민수 의원(더불어민주당)이 “(용역업체가 KT에 7월9일 보고한 내용을 보면) 원격상담서비스 서버 의심 정황 1종이 포함돼 있다”고 하자 “7월22일 중간보고를 받았다”고 말했다.

내부적으로는 해킹 의심 보고를 받고도 두 달간 전면 부인해 온 것이다. 한 의원이 “의심 정황을 보고받고도 사고가 벌어지기까지 아무 조치도 안 했느냐”고 질문하자, KT 측은 “의심 정황 한 건이 미사용 계정에 대한 존재였다”고 말했다.

프랙이 제기한 해킹 의혹과 무단 소액결제 사건은 별건이나, 두 사건이 연계돼 있을 가능성이 있다. 불법 초소형 기지국(펨토셀)만으로는 ARS 인증을 뚫을 수 없는 만큼 개인정보를 확보하기 위한 별도의 서버 해킹이 이뤄졌을 것이란 관측이 나오고 있다.