![서울 한 KT 대리점 모습. [사진: 연합뉴스]](https://images-cdn.newspic.kr/detail_image/181/2025/9/22/ac3b693e-1b5c-4214-ae3a-646a4e0145c9.jpg?area=BODY&requestKey=w3Hru72p)
[이뉴스투데이 백연식 기자] 무단 소액결제 사건이 발생한 KT에서 추가로 서버 해킹 정황까지 발견되면서 개인정보 유출 우려가 커지고 있다. KT가 해킹 상황을 인지하고도 사흘이 지나서야 당국에 신고한 것으로 알려져 ‘늑장 대응’이라는 비판을 피하기 어려울 것으로 보인다.
정부 역시 SK텔레콤 사태 이후 KT와 LG유플러스의 서버를 점검했고 “특이사항이 발견되지 않았다”고 발표한 적 있기 때문에 부실 점검이라는 지적을 면하기 어렵다. KT가 단말기식별번호(IMEI)가 추가로 유출됐다고 발표했기 때문에 해커가 유심을 복제해 불법적인 행위를 할 우려 역시 제기되는 상황이다.
최근 KT는 지난 4월 있었던 SK텔레콤 해킹 사건 이후 외부 보안업체에 점검을 의뢰한 결과, 자사 서버에서 침해 흔적 4건과 의심 정황 2건을 확인해 KISA에 신고했다고 밝혔다. KT에서 정확한 실태 점검을 위해 외부 보안전문 기업에 의뢰해 모든 서버를 4개월 동안 조사했고 그 결과가 최근에 나온 것이다.
KT가 서버 침해 사실을 인지한 것은 지난 15일. 하지만 신고는 법정시한인 24시간을 한참 넘긴 18일 밤에야 이뤄졌다. 이때는 소액결제 사태로 KT 서버 해킹 가능성이 제기되고 있었던 시점으로, 바로 신고하지 않은 것이다.
KT 관계자는 “점검 결과 보고서를 수령했고, 이후 사실 관계 여부를 확인하느라 시간이 걸린 것”이라고 설명했다. 지난 18일 열린 소액 결제 사태 긴급 기자회견에서 밝히지 않은 것은 숨기려 한 게 아니라 내부 소통 문제라고 해명했다.
원격상담시스템 계정과 비밀키 유출이 의심되는 정황도 드러났다. 미국 해킹전문지 ‘프랙’이 해커조직 ‘김수키’를 분석하며 KT가 해킹당했다고 공개한 것과 유사한 내용이었다.
KT는 여전히 소액결제 인증에 필요한 개인정보와, 복제폰 생성에 필요한 정보는 유출되지 않았다고 주장하고 있다. 하지만 서버 침해가 확인됐기 때문에 이 주장이 사실이 아닐 가능성이 제기된다.
일각에서는 SK텔레콤 해킹 사태 때도 제기됐던 복제폰 우려가 다시 고개를 들고 있다. KT는 최근 브리핑에서 IMEI가 추가로 유출됐다고 발표했다. 휴대전화 기기 고유번호인 IMEI가 넘어갈 경우 해커가 유심을 복제해 불법적인 행위를 할 우려가 있다.
이에 대해 KT는 복제폰이 만들어지려면, KT 서버에 보관된 유심 인증키가 탈취돼야 한다며 그동안 반박해왔다. 그러나 서버가 해킹된 사실이 새로 드러났기 때문에 복제폰이 나올 가능성이 없다고 장담하기 어렵다는 것이 전문가들의 공통적인 견해다.
불법 기지국을 활용한 무단 소액결제 사건이 중앙 서버 해킹 가능성으로 발전되면서 정부의 보안 정책에도 문제가 있는 것 아니냐는 비판도 나온다. SK텔레콤 유심 유출 사고가 발생한 직후인 지난 4월부터 정부는 민관합동조사단을 꾸리고 이동통신3사의 서버 침해 여부를 확인하기 위한 전수조사를 했다. 그리고 지난 7월 과학기술정보통신부는 “KT와 LG유플러스의 서버가 침해된 것이 확인되지 않았다”고 발표했다.
불과 2개월 만에 KT 서버 해킹 정황이 밝혀지자 지난 19일 류제명 과기정통부 2차관은 “물리적인 시간 부족으로 SK텔레콤과 비슷한 사례인 홈가입자서버(HSS) 악성코드 감염 여부만 조사했다”고 인정했다. 정부가 내세운 ‘서버 전수조사’는 거짓이었다는 것이다.
KT를 비롯해 과기정통부, 한국인터넷진흥원(KISA) 모두 “조사를 더 해봐야 한다”는 입장이다. KT 측은 “정부 조사에 적극 협조해 조속한 시일 내에 침해 서버를 확정할 것”이라며 “구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다”고 했다.
KT가 KISA에 제출한 신고 내용을 근거로 윈도 서버 보안이 취약한 틈을 타 해킹이 시도된 것이란 추정도 나오고 있다. 신고서에는 윈도 서버 침투 후 측면 이동 시도, 스모민루 봇넷 감염, 비주얼베이직스크립트(VBScript) 기반 원격코드 실행 및 민감정보 탈취, 메타스플로이트(Metasploit)를 통한 SMB 인증 시도 및 측면 이동 성공 등이 적시된 것으로 알려졌다. 문제는 아직도 KT가 해킹 피해를 본 서버 수와 유출된 정보의 양과 내용 등 세부적인 사실을 파악하지 못하고 있다는 점이다.
최근 불법 기지국을 활용한 무단 소액결제 사태도 중앙서버 해킹과 연관이 있을 가능성이 높다는 게 보안업계의 중론이다. 경찰은 소액결제에 사용된 가입자 생년월일 등을 외부에서 입수했을 것으로 추정하고 있지만, 이미 중앙서버에서 정보 유출이 확인된 이상 안심할 수 없다는 지적도 나온다.
김승주 고려대 정보보호대학원 교수는 “해킹 관련 조사가 완벽하게 끝나지 않은 것으로 안다. 왜냐하면 정보기관이 전수조사를 하겠다며 마음대로 들어가 조사할 수 있는 게 아니고, 해당 부처나 기관의 협조가 있어야 하기 때문”이라며 “해킹 사고는 금융이나 통신 업계에 한정해서 발생하는 게 아니다. 범국가적인 차원에서 해킹 사고에 대한 전수조사를 해야 한다”고 강조했다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
