“KT 43대 서버 악성코드 감염”…정부, 은폐·정보유출 정밀 조사 착수

KT의 43대 서버에서 올해 상반기 SK텔레콤 해킹 사건에서 사용된 것과 유사한 'BPF도어' 악성코드 감염 흔적이 정부 조사 과정에서 드러났다. BPF도어는 보안 백신 등 기존 감시망을 회피할 수 있는 은폐성이 높은 유형인데, KT가 작년 3~7월 자체적으로 감염을 확인하고도 정부에 신고하지 않은 사실이 밝혀지면서 정보보호법 준수와 사후관리 체계에 대한 문제가 커지고 있다. 정부와 민간 합동조사단은 포렌식 분석을 통해 해당 서버에 성명, 전화번호, 이메일, 단말기식별번호(IMEI) 등 개인정보가 일부 저장돼 있던 점에도 주목, 자료 유출 또는 2차 피해 가능성에 대한 조사도 본격화하고 있다.

이번 조사는 당초 한국인터넷진흥원(KISA)이 KT 서버에서 BPF도어 흔적을 발견하지 못했다고 밝혔던 기존 입장과 달리, 최근 백신(검출 스크립트) 실행 기록 등 새로운 정황을 확보하며 전환점을 맞았다. KT는 문제의 43대 서버 감염 사실을 자체적으로 확인했으나 별도 공지나 정부 신고 없이 독자적으로 삭제 조치했다. 해당 흔적은 조사단이 KT 시스템을 포렌식으로 점검하던 중 백신 실행 등의 로그를 역추적해 추가 자료를 확보하는 과정에서 확인됐다.

문제가 된 BPF도어는 해커가 시스템 접근 권한을 탈취한 뒤 제거해 흔적을 감추기 쉽다는 특징을 지닌다. 조사단은 감염 서버 중 일부에 개인정보성 데이터가 존재한 점에서 실제 정보 유출 범위, 소액결제 등 2차 범죄와의 연계성까지도 정밀 분석할 계획이다. 다만 감염서버에서 악성코드 자체는 이미 삭제됐고, 구체적 피해 규모는 추가 조사 결과에 따라 확인될 전망이다.

KT는 백신 실행 내역 등 조사단 요청에 따라 관련 자료를 추가 제출했으며, 과학기술정보통신부(과기정통부)는 개인정보보호위원회 등과의 공동 조사를 통해 기술적·법적 책임 소재까지 검증한다는 방침이다. 업계에서는 “KT의 신속한 자체 조치만으로는 이용자 보호와 투명한 신고 의무가 담보될 수 없으며, 대형 통신사 보안 사고 대응 체계와 정보공개 원칙 전반에 대한 재점검이 시급하다”는 지적이 제기된다.

한편 미국 보안 전문지 프랙이 지난 8월 KT와 LG유플러스 대상 해킹 공격 의혹을 제기한 이후, 과기정통부는 LG유플러스가 현재 부인하고 있는 계정권한관리 시스템(APPM) 침해 논란에 대해서도 KISA 등과 함께 별도 조사단을 가동 중이다. LG유플러스 측은 관련 침해 사실을 공식적으로 신고했고, 추가 로그·서버 조사를 통해 BPF도어 등 악성코드 감염·정보유출 여부를 확인한다는 입장이다.

전문가들은 “최근 통신사업자 보안사고의 양적·질적 위험성이 한층 복잡해진 만큼, 기술적 점검뿐 아니라 신고·공개 등 거버넌스 전반 개선이 필요하다”면서 “조사 결과에 따라 산업 정보보호 체계 강화와 법제 개정 논의에도 영향을 미칠 수 있다”고 분석한다. 산업계는 이번 사고 원인 규명과 통신사 보안관리 투명성 강화 방안이 실제 개선까지 이어질지 주시하고 있다.