[이뉴스투데이 백연식 기자] KT가 지난해 자사 서버에서 ‘BPF도어(BPFdoor)’라는 해킹용 악성코드 감염을 자체 확인했지만 정부에 신고하지 않은 것으로 확인됐다. SK텔레콤에서도 같은 유형의 감염 정황이 발견됐기 때문에 통신사 전반으로 확산했을 우려가 제기된다. 해당 서버에는 가입자 개인정보가 저장돼 있었던 것으로 파악됐다.
KT 해킹 사고를 조사 중인 민관 합동조사단은 지난 6일 “KT가 지난해 3월부터 7월 사이 BPF도어와 웹셸(Webshell) 등 악성코드에 감염된 서버 43대를 확인했지만 관계기관에 신고하지 않았다”고 밝혔다.
조사단 조사 결과, 해당 서버에는 이용자의 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 주요 개인정보가 저장돼 있었다.
BPF도어는 서버 내부에 장기간 잠복하며 탐지를 회피하는 은폐형 악성코드를 말한다. 올해 초 SK텔레콤 해킹에도 이용된 공격 수단이다. 이 악성코드는 원래 네트워크에서 특정 데이터를 골라내는 기술인 BPF(버클리 패킷 필터)를 악용한다. 해커는 이를 이용해 서버의 보안 장비나 탐지 시스템을 우회하고, 평소에는 숨어 있다가 특정 신호(매직 패킷)가 오면 작동해 외부 공격자와 통신한다. BPF도어에 감염되면 공격자는 서버에 명령을 전달하기 위해 리버스 셸이나 바인드 셸 방식으로 접속하게 된다.
하지만 KT는 “개인정보 유출 정황이 발견되지 않았다”는 이유로 현재까지 개인정보보호위원회(개인정보위)에 신고를 하지 않은 상태다.
현행 개인정보보호법 시행령에 따르면, 개인정보처리자는 1000명 이상의 개인정보 또는 민감정보가 유출된 사실을 인지하면 72시간 이내에 개인정보위에 신고해야 한다.
KT 관계자는 “민관 합동조사단도 개인정보 유출이 확인된 바 없다고 발표했다”며 “유출 정황이 보이지 않아 신고하지 않았다”고 말했다.
업계에서는 BPF 도어가 사용된 SK텔레콤 사례를 고려하면 KT의 개인정보가 외부로 유출됐을 가능성을 완전히 배제하기 어렵다고 보고 있다.
앞서 SK텔레콤은 해킹으로 LTE·5G 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제외)의 개인정보가 유출된 것으로 확인됐다. 당시 SK텔레콤 서버에서는 BPF 도어 계열 27종을 비롯해 타이니셸 3종, 웹셸, 크로스 C2, 슬리버 등 총 33종의 악성코드가 발견됐다.
KT는 지난해 3월부터 7월 사이 BPF도어 등 악성코드에 감염된 서버 43대를 발견하고 자체적으로 삭제·복구한 것이 최근 드러났다. 조사단은 KT가 BPF도어 탐지 스크립트(백신)를 직접 실행한 기록을 확보해 정부에 신고하지 않은 은폐 정황이 있다고 판단했다.
다만 SK텔레콤처럼 가입자 핵심 정보가 저장된 홈가입자서버(HSS)에 악성코드 침투했는지, 개인정보 유출 규모, SK텔레콤 공격자와 동일 여부 등은 아직 확인되지 않았다.
이에 개인정보위는 개인정보보호법 위반 책임을 물어 SK텔레콤에 역대 최대 규모인 과징금 1347억9100만원과 과태료 960만원을 부과했다.
개인정보위는 이번 KT 악성코드 감염건에 대해서도 개인정보 유출 여부와 신고지연 가능성 등을 함께 조사할 방침이다.
개인정보위는 KT의 악성코드 감염 건에 대해 개인정보 유출 여부와 지연 신고 가능성을 함께 조사하고 있다. 개인정보위 관계자는 “이미 KT의 불법 초소형 기지국(펨토셀) 무단 소액결제 사건과 관련해 현장 조사를 진행 중이며, 이번 BPF도어 감염으로 인한 개인정보 유출 여부 역시 조사 대상에 포함돼 있다”고 전했다. 이어 “KT의 신고 여부와 관계없이 개인정보위는 인지 조사를 진행할 수 있다”며 “과학기술정보통신부로부터 민관 합동조사단의 조사 결과 자료를 모두 공유받았다”고 덧붙였다.
Copyright ⓒ 이뉴스투데이 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
