‘국내 최고 수준’ 자랑하던 KT... 1년6개월간 해킹 은폐 정황 드러나

2024년 3월 서버 43대 감염 인지하고도 정부 신고 없이 '백신'으로 은폐
펨토셀 인증서 관리 부실·조사 방해 의혹까지 겹치며 정부 고강도 제재 예고

‘국내 최고 보안’을 자처한 KT가 해킹 은폐 의혹에 휘말리며 통신 산업 전체의 신뢰 기준이 흔들리고 있다.

정부 민관합동조사단은 지난해 3~7월 KT 핵심 서버 43대에서 BPF도어·웹셸 등 악성코드 감염이 발생했지만, 관계기관에 법정 신고(현행 정보통신망법상 침해사고 24시간 내) 대신 백신으로 흔적을 지운 정황을 최근 중간조사에서 확인했다고 밝혔다.

BPF도어는 올해 초 불거진 SKT 해킹 사례에서도 큰 피해를 준 악성 코드다.

최우혁 과학기술정보통신부 네트워크정책실장은 지난 6일 중간조사 결과 브리핑에서 “BPF도어 등 악성코드 감염 사실을 확인하고도 신고 없이 백신 프로그램으로만 대응했다”고 밝혔다. 포렌식에서는 백신 스크립트 실행 기록과 삭제 흔적이 함께 확인됐다.

그는 "아직까지 휴대전화 불법 복제에 필요한 유심키 유출은 확인되지 않았다"면서도 "이번에 여러 가지 추가 사고 건들이 발견돼서 관련성이 있는지 면밀하게 살펴볼 예정"이라고 덧붙였다.

지난 8월 펨토셀 무단 소액결제 이후 KT의 대응은 논란을 키웠다.

조사단은 해외 보안매체 경고 이후 서버 폐기 시점을 허위 제출하고 백업 로그를 한 달 넘게 은폐한 정황을 확인했으며, 정부는 이를 공무 수행을 방해할 의도로 허위 사실을 사용한 행위로 보고 형법상 ‘위계에 의한 공무집행방해’ 혐의로 경찰 수사를 의뢰했다.

이 과정에서 외부 점검보다 ‘공개 최소화’에 치우친 폐쇄적 대응이 논란을 키웠다는 지적이 나온다.

조사단은 펨토셀 운영·접속 전반에서 구조적 취약점을 확인했다. 모든 펨토셀이 동일 인증서를 쓰고 유효기간 10년으로 설정돼 있어 인증서만 복사하면 불법 펨토셀도 KT 망에 접속할 수 있었고, 한 번 접속 이력이 생기면 지속 접속이 가능했다.

또한 셀 ID·인증서·KT 서버 IP 등 중요 정보를 보안관리 없이 외주사에 제공했고, 펨토셀 저장장치에서 이를 쉽게 확인하고 추출할 수 있었다.

접속 통제도 허술했다. 타사·해외 IP 등 비정상IP에 대한 차단 미흡, KT망 등록 정보 검증 부재로 내부망 접속이 제대로 걸러지지 않았고, 단말–기지국·단말–코어망 구간의 종단 암호화 역시 불법 펨토셀을 장악한 자가 해제 가능해 ARS·SMS 등 결제 인증정보가 평문으로 유출될 소지가 있었다.

조사단은 불법 펨토셀을 통해 결제 인증정보뿐 아니라 문자, 음성통화 탈취가 가능했는지에 대해서도 전문가 자문 및 추가 실험 등을 통해 조사할 방침이다.

앞선 은폐 정황과 구조적 취약이 드러나며 리더십의 메시지와 현실의 간극이 더 커졌다.

황태선 KT 정보보안실장(CISO)은 지난 7월 15일 간담회에서 “보안은 기술의 문제가 아니라 기업 신뢰의 핵심 가치”라며 “5년간 1조원을 투자해 국내 최고 수준의 정보보호 체계를 글로벌 톱 수준으로 끌어올리겠다”고 말했다.

당시에는 SK텔레콤 해킹 사태로 국민 불안이 고조되던 시기였다.

또한 “KT는 체계적인 보안 활동을 통해 국내 최고 수준의 정보보호 태세를 안정적으로 유지 중에 있으며 이는 경쟁사 대비 확실한 차별점이자 KT만의 보안 경쟁력이라 할 수 있습니다.”고 자신했다.

내·외부에서는 CISO와 CPO 겸직 구조가 사고 예방(보안)과 사고 통지(개인정보보호)라는 상충 임무를 한 인물에게 집중시켜 은폐 유인을 키웠을 수 있다는 지적이 나온다. 동시에 국가기간통신망 사업자가 경쟁사 위기를 홍보 수단으로 활용했다는 비판과 고객·정부 대상 기만 의혹이 더욱 거세지고 있다.

이에 김영섭 KT 대표는 지난해 10월 말 국정감사에서 “경영 전반의 총체적 책임을 지는 CEO로서 개인정보 유출 및 소액결제 피해 발생에 대한 합당한 책임을 지는 것이 마땅하다”고 밝힌 데 이어, 이사회에서 차기 대표이사 공개 모집에 참여하지 않겠다는 연임 포기 의사를 공식화했다.

그는 내년 3월 정기 주주총회까지 임기를 마친 뒤 물러날 예정이다.

김 대표의 연임 포기 표명은 ‘위계에 의한 공무집행방해’ 혐의가 공식화되며 경영 지속이 어려워진 시점과 맞물린다. 이에 그의 결정은 보안 실패에 대한 단순한 도의적 사과를 넘어선 책임 조치로 해석되고 있다.

정책·제도 개선도 속도를 낸다. 국회 과학기술정보방송통신위원회 이주희 더불어민주당 의원은 10일 해킹이나 침해사고를 숨기거나 신고를 늦춘 사업자에게 매출액의 최대 3%까지 과징금을 부과하는 정보통신망법 개정안을 대표 발의했다.

개정안은 침해사고를 신고하지 않거나 지연한 경우, 조사 과정에서 자료를 제출하지 않거나 거짓으로 제출한 경우, 조사를 거부·방해하거나 자료보전 명령을 위반한 경우 등에 대해 대통령령으로 정하는 매출액의 3% 이하를 과징금으로 부과할 수 있도록 했다.

이 의원은 "KT 사례처럼 침해사고를 숨기거나 신고를 늦출 경우 피해가 기하급수적으로 확산된다"며 "국민의 정보보호를 위해 단순 과태료 수준을 넘어선 실질적 제재가 필요하다"고 말했다.

정부 역시 지난해 10월 범부처 정보보호 종합대책에서 징벌적 과징금과 조사권한 강화 방침을 제시했고, 과학기술정보통신부는 해킹 은폐가 이용약관상 위약금 면제 사유에 해당하는지 법률 검토 후 발표할 계획이다.

시장과 이용자 시선은 투명한 경과 공개, 외부 검증, 구조적 개선으로 모이고 있다.

은폐 가능성을 차단하는 거버넌스 개편, 인증서·접속통제·로그보전 등 기본 통제의 전면 재설계, 침해 징후의 조기 탐지·통지 체계 확립 없이는 신뢰 회복이 어렵다는 것이 업계의 중론이다.

사진=연합뉴스