KT, '서버 43대' 악성코드 감염 은폐 의혹···"면밀히 조사 진행"(종합)

KT 무단 소액결제 사고와 관련한 민관합동조사 과정에서 KT 서버 43대가 BPF도어 등 악성코드에 감염됐던 것으로 나타났다. KT는 해당 악성코드를 확인하고도 당국에 신고하지 않고 자체 조치한 것으로 드러났다. 민관합동조사단(이하 조사단)은 서버들을 분석해 은폐 여부를 확인하고 합당한 조치를 취하겠다는 입장이다.
과학기술정보통신부는 6일 KT 침해사고에 대한 중간 조사결과 브리핑에서 KT가 지난해 3~7월 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했음에도 이를 정부에 신고하지 않고 자체 처리한 사실을 확인했다고 밝혔다.

해당 사실은 조사단이 해당 서버를 포렌식하던 과정에서 악성코드를 제거하기 위해 백신을 실행한 흔적을 발견하면서 드러났다. 최우혁 과기정통부 네트워크정책실장은 "KT가 스스로 보고한 것이 아니고, 조사단이 포렌식 과정에서 발견한 사안"이라고 말했다.

조사단이 BPF도어 등 악성코드 감염 여부를 최근에 확인한 터라 감염 서버에 보관된 개인정보 규모 등 구체적인 사안은 파악되지 않은 상황이다. 과기정통부는 조사단을 중심으로 개인정보보호위원회 등과 협력해 피해 여부 및 규모 등을 확인할 방침이다.

감염된 서버의 기능과 성격에 대해 최 실장은 "펨토셀 관련 서버였다"며 "자세한 내용은 SK텔레콤 해킹 사고 때처럼 추후 최종 보고 때 말씀드릴 것"이라고 말을 아꼈다.

최 실장은 "(악성코드 감염서버가) 소액결제에 필요한 개인정보와 연계성이 있는지 여부도 정밀 조사와 확인이 필요한 부분"이라며 "현재로서는 단정적으로 말씀드리기가 어렵고 자료를 받아서 더 분석을 해봐야 한다"고 했다.

KT의 징계 수위와 관련해서도 최 실장은 "조사를 좀 더 진행해 피해·과실 규모를 확인한 후 책정할 수 있을 것 같다"며 "정보통신망법상 미신고에 따른 과태료 대상이지만 이외에 형법상 처벌이 있을 수 있다"고 짚었다. 조사단은 지난달 2일 KT가 정부 조사를 방해하기 위한 고의성이 있다고 판단해, 형법 제137조(위계에 의한 공무집행방해)에 따라 수사기관에 수사 의뢰한 바 있다.

한편 과기정통부는 사이버 공격 의혹이 제기된 LG유플러스의 계정 권한 관리 시스템(APPM)에 대한 조사도 이어갈 방침이다. 미국의 보안 전문지 '프랙(Phrack)'이 지난 8월 KT와 LG유플러스 해킹 의혹을 제기하면서, LG유플러스도 논란에 휩싸였다.

과기정통부는 BPF도어 감염 사실이 없다던 KT의 주장이 거짓으로 확인된 만큼 LG유플러스에 대해서도 보다 정밀한 조사를 진행한다는 입장이다.

현재 LG유플러스는 APPM 침해 사실이 없다는 입장을 고수하고 있지만, 오해를 해소하는 차원에서 지난달 23일 KISA에 사이버침해 신고서를 접수한 바 있다.

최 실장은 "LG유플러스 APPM과 관련해서 프랙 보고서에서 나왔던 부분도 정밀하게 보고 있다"며 "이 부분에 대해서도 조사단이 구성돼서 서버, 로그 등을 조사 중"이라고 설명했다.