KT가 해킹 피해 후속 대책으로 전 가입자를 대상으로 무상 유심 교체를 시작한 5일 서울 KT플라자 여의도역점에서 직원들이 유심을 교체하고 있다. 문재원 기자

KT가 지난해 악성코드로 서버가 대량 감염된 사실을 파악하고도 이를 당국에 신고하지 않은 채 숨긴 것으로 확인됐다. 감염된 서버에는 일부 고객 정보가 저장돼 있었지만, 유출 여부는 아직 확인되지 않았다. ‘무단 소액결제’로 시작된 KT 해킹 사태가 한층 심각한 국면으로 접어들고 있다.

과학기술정보통신부와 한국인터넷진흥원(KISA)을 주축으로 KT 해킹 사고를 조사 중인 민관합동조사단은 6일 정부서울청사에서 이 같은 내용이 담긴 중간 조사 결과를 발표했다.

조사 결과에 따르면 KT는 지난해 3~7월 ‘BPF 도어(Door)’라는 악성코드에 의해 서버 43대가 감염되는 해킹 사고를 겪고도 이를 당국에 보고하지 않았다. BPF 도어는 SK텔레콤 해킹 사태 당시 고객정보 유출 통로로 이용됐던 악성코드다. 당시 공격자들은 홈가입자서버(HSS) 데이터베이스(DB)에 BPF 도어를 심어 2300만여명의 SK텔레콤 고객 유심 인증키 등 주요 개인정보를 대량 탈취할 수 있었다.

KT의 경우에도 BPF 도어에 감염된 서버에 고객 이름, 전화번호, e메일 주소, 단말기 식별번호(IMEI) 등이 저장돼 있었다. 다만 이 같은 정보가 유출됐는지는 추가 조사가 필요한 상황이다. 최우혁 조사단장(과기정통부 네트워크정책실장)은 “(해당 사실을) 포렌식 과정에서 최근 인지했고 KT에 자료를 요청해 보고받았다”며 “(개인정보 유출 여부 확인을 위해서는) 보고 내용을 토대로 포렌식과 자료 분석을 해봐야 한다”고 말했다. BPF 도어에 감염됐던 서버는 펨토셀(불법 초소형 기지국)과 관련이 있어, 무단 소액결제 사태와의 연관성도 추가 조사가 이뤄질 것으로 보인다.

KT가 해킹을 숨기려 한 정황은 ‘백신 흔적’ 때문에 드러났다. 최 조사단장은 “포렌식 과정에서 BPF 도어 관련 백신을 돌린 흔적을 발견했다”고 전했다. 백신 프로그램을 실행했다는 것은 KT가 악성코드 감염 사실을 인지하고 당국에 신고하는 대신 자체 대응했음을 의미한다. 신고 누락은 물론 원본 증거 훼손 정황까지 드러나며 ‘해킹 은폐’ 비판을 피하기 어려울 것으로 보인다.

조사단은 엄중 대처를 예고했다. 최 단장은 “해당 사안을 엄중히 보고 있으며, 관계 기관에 합당한 조치를 요청할 계획”이라고 밝혔다.

KT의 ‘해킹 은폐’는 이번이 처음은 아니다. 앞서 KT는 KISA로부터 원격상담시스템 서버 해킹 의혹을 통보받은 뒤, 공식적으로는 이를 부인하면서도 내부적으로 해당 서버를 폐기한 의혹을 받고 있다. KT는 지난 9월18일에야 뒤늦게 해킹 사실을 인정하고 신고했다. 조사단은 서버 폐기 시점 허위 제출과 백업 로그 지연 제출 등에 조사 방해 고의성이 있다고 판단해 지난달 2일 KT를 수사 의뢰한 바 있다.

조사단은 이날 불법 펨토셀이 KT 통신망에서 정상 작동한 원인 분석 결과도 함께 내놨다. KT에 납품된 모든 펨토셀은 동일한 인증서를 사용하고 있었고, 이를 복사하면 불법 펨토셀도 KT 통신망에 접속이 가능했다. KT는 펨토셀 제품 고유번호와 설치 지역정보 등이 자사 망에 등록된 정보인지 여부도 검증하지 않고 있었다.

조사단은 또 불법 펨토셀을 장악한 자가 단말기와 코어망(이동통신 핵심 서버망)을 오가는 문자 등 통신데이터 암호를 해제할 수 있었던 사실도 확인했다.

과기정통부는 “민관합동조사단의 최종 조사 결과가 나오는 대로 공개하고, 펨토셀 관리 부실과 해킹 은폐 관련 사실을 토대로 법률 검토를 거쳐 위약금 면제 사유에 해당하는지 여부를 발표할 계획”이라고 설명했다.

KT는 이날 입장문을 내고 “조사단의 중간 조사 결과를 엄중하게 받아들인다”며 “지난해 악성코드 침해 사실 인지 후 정부에 신고하지 않았던 것을 비롯해 각종 지연 신고에 대해 송구하다”고 밝혔다.