 |
류제명 과학기술정보통신부 제2차관이 29일 서울 종로구 정부서울청사에서 민관합동조사단의 KTㆍLGU+ 침해사고 최종조사 결과를 브리핑하고 있다. 연합뉴스 |
정부가 KT 서버 해킹 의혹을 두고 고객 개인정보 유출 여부는 “확인이 불가능하다”는 조사 결과를 내놓으면서 논란이 일고 있다. KT 서버가 SK텔레콤 해킹 사례와 동일한 악성코드에 감염됐던 점을 고려하면, 개인정보 유출 가능성을 배제하기 어렵다는 지적이 잇따른다.
30일 통신업계에서는 과학기술정보통신부 민관합동조사단이 발표한 ‘KT 침해사고 최종 조사결과’를 둘러싸고 결론의 적절성에 대한 의문이 이어지고 있다. 조사단은 전날 KT의 서버 94대의 악성코드 감염을 확인했으나 로그기록이 있는 최근 1~2개월 동안에는 개인정보가 유출되지 않았다는 조사 결과를 내놨다. 조사단은 그러면서 로그기록이 남아있지 않은 기간에 대해서는 “유출 여부 확인이 불가능했다”고 밝혔다. 업계에선 “의혹을 해소하기보다 오히려 키운 결과”라는 평가가 나온다.
핵심 쟁점은 ‘BPF도어’ 악성코드 감염이다. BPF도어는 SK텔레콤 해킹 사태를 촉발한 악성코드로, KT 서버 41대는 2022년 4월2일부터 19일까지 BPF도어 악성코드 4종과 웹셸 16종 등에 감염됐다.
SK텔레콤 해킹 사태에서 공격자가 BPF도어를 심은 시점은 2021년 12월24일~2022년 1월1일, 그리고 2022년 6월15일~22일이다. 악성코드가 같을 뿐 아니라 공격 시점도 유사하다.
KT의 감염 규모가 SK텔레콤 사례를 뛰어 넘는다는 점도 논란거리다. KT의 경우 94대의 서버에서 103종의 악성코드가 확인된 반면 SK텔레콤에선 28대의 서버에서 33종이 발견됐다. 통신업계의 한 관계자는 “악성코드 규모를 볼 때 KT 서버에서도 정보가 유출됐다고 보는 게 더 상식적이지 않느냐”고 말했다.
KT 해킹 의혹의 또 다른 축인 ‘무단 소액결제’ 사태의 인증 정보 미스터리를 풀지 못한 것도 이같은 의혹을 뒷받침한다. KT 무단소액결제 사태는 공격자가 불법 초소형 기지국(펨토셀)을 통해 피해자들의 통신을 가로채 발생했다. 그런데 인증 자동응답(ARS)·문자(SMS)를 탈취하더라도 ‘결제 승인’까지 받기 위해서는 이름, 생년월일 등 피해자의 개인정보가 추가로 필요하다.
이 때문에 공격자가 KT 서버를 별도로 해킹해 개인정보를 빼 냈을 것이란 추측이 이어졌다. 그러나 조사단은 공격자가 해당 정보를 “미상의 경로로 취득”한 것으로만 결론지었다.
KT 서버를 통한 개인정보 유출에 대해 ‘확인 불가’ 판정이 나오면서, 조사단이 확인한 KT의 개인정보 유출 범위는 불법 펨토셀에 강제 접속된 피해자 2만2000여명의 전화번호·가입자식별번호·단말기식별번호로 제한됐다.
조사단의 이 같은 결론이 향후 개인정보보호위원회의 과징금 산정에 어떻게 반영될지도 관심이다. 만약 개인정보위가 조사단과 같은 판단을 할 경우 과징금은 SK텔레콤에 부과된 1348억원에 크게 못 미칠 가능성이 있다.
김용대 카이스트 전기및전자공학부 교수는 페이스북에 “SK텔레콤은 침해 사실 인지 후 신고했고 사후 대응에서 정부와 공개 협조한 반면 KT와 LG유플러스는 증거 인멸 정황까지 제기됐다”면서 “제재와 관련해 잘못된 판단이 나오면 ‘투명하게 신고하고 (정부에) 협조하면 손해’라는 신호만 받게 되는 것 아니냐”고 지적했다.
한편 KT는 이날 해킹 사태와 관련한 위약금 면제 및 고객 보상안을 발표했다. KT는 지난 9월1일부터 내년 1월13일까지 계약을 해지했거나 해지할 고객에게 환급 방식으로 위약금을 면제하기로 했다. 아울러 6개월간 매달 100GB 데이터와 함께 온라인동영상서비스(OTT) 서비스 6개월 이용권 등도 제공한다.
송윤경 기자 kyung@kyunghyang.com
▶ 매일 라이브 경향티비, 재밌고 효과빠른 시사 소화제!
▶ 더보기|이 뉴스, 여기서 끝나지 않습니다 → 점선면
©경향신문(www.khan.co.kr), 무단전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.