KT 작년 서버 악성코드 감염 은폐 의혹…정부 "무단결제 사건 연관성은 확인 안돼"

[서울=뉴시스]윤현성 심지혜 기자 = KT 침해사고에 대한 민관합동조사단(조사단)의 조사 과정에서 KT 서버 43대가 BPF도어와 같은 악성코드에 감염됐던 것으로 파악됐다. BPF도어는 올 상반기 SK텔레콤 해킹 사태 당시 발견된 은닉성이 강한 악성코드 방식이다.

당초 한국인터넷진흥원(KISA) 등은 KT 서버 침해 흔적이 있긴 하지만 BPF도어 방식은 아니라고 설명해왔는데, 불과 한달여 만에 입장이 바뀌었다. 정부는 추가적인 포렌식 조사 등을 통해 BPF도어 등 감염 서버에서 개인정보가 얼마나 유출됐는지 등을 확인한다는 방침이다.

과학기술정보통신부는 6일 KT 침해사고에 대한 중간 조사결과 브리핑에서 KT가 지난해 3~7월 기간 동안 BPF도어, 웹셸 등 악성코드 감염서버 43대를 발견했음에도 이를 정부에 신고하지 않고 자체 처리한 사실을 확인했다고 밝혔다. 일부 감염서버에는 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등의 정보가 저장된 것으로 확인됐다.

이날 브리핑을 진행한 최우혁 과기정통부 네트워크정책실장에 따르면 악성코드 감염서버는 KT가 자체적으로 밝혀낸 것이 아니라 조사단의 포렌식 과정에서 발견됐다.

다만 KT 서버에서 BPF도어 등 악성코드 자체가 발견된 것은 아니다. BPF도어는 지워져 있었으나 BPF도어 검출 스크립트, 즉 일종의 백신을 돌린 흔적을 조사단이 발견했다. 백신 흔적을 발견한 조사단이 KT에 구체적인 상황 설명을 요구하자 관련 자료가 추가적으로 확인된 것이다.

이에 대해 최 실장은 "포렌식 과정에서 BPF도어 흔적이 발견됐는데, 지금 상태에서는 서버 포렌식 등을 다 해봐야 하고 추가적인 조사가 필요한 상황"이라며 "현재 확인된 서버 43대 등에 대한 조사를 진행하고 다 분석이 이뤄진 뒤 최종 결과 등을 보고드릴 수 있을 것"이라고 설명했다.

조사단이 BPF도어 등 악성코드 감염 여부를 최근에 확인한 만큼 감염서버에 보관된 개인정보 규모 등은 파악되지 않은 상황이다. 과기정통부는 조사단을 중심으로 개인정보보호위원회 등과 협력해 피해 여부 및 규모 등을 확인할 방침이다.

최 실장은 "(악성코드 감염서버가) 소액결제에 필요한 개인정보와 연계성이 있는지 여부도 정밀 조사와 확인이 필요한 부분이다. 현재로서는 단정적으로 말씀드리기가 어렵고 자료를 받아서 더 분석을 해봐야 한다"고 말했다.

이어 "KT가 악성코드 감염서버가 43대라는 것을 확인해줬고 거기에 일부 (개인)정보 등이 들어있다는 보고를 한 상태"라며 "그 자료를 지금 다 들여다봐야 한다. 서버 안에 뭐(정보)가 들어있고 어떤 서버가 연계돼있는지 확인해야 하고, 그 안에 들어있는 자료들을 다 포렌식하면서 어떤 악성코드가 들어가 있었는지 등을 다 확인한 뒤에야 밝힐 수 있을 것"이라고 덧붙였다.

한편 미국의 보안 전문지 프랙이 지난 8월 KT와 LG유플러스에 대한 사이버 공격 의혹을 제기했던 만큼 과기정통부는 의혹이 제기된 LG유플러스의 계정 권한 관리 시스템(APPM)에 대한 조사도 이어갈 방침이다.

LG유플러스는 APPM 침해 사실이 없다는 입장을 고수하고 있지만 오해를 해소하는 차원에서 지난달 23일 KISA에 사이버침해 신고서를 접수했다고 밝힌 바 있다. BPF도어 감염 사실이 없다던 KT의 주장이 거짓으로 확인된 만큼 LG유플러스에 대해서도 보다 정밀한 조사를 진행한다는 것이 과기정통부의 입장이다.

최 실장은 "LG유플러스 APPM과 관련해서 프랙 보고서에서 나왔던 부분도 정밀하게 보고 있다. 이 부분에 대해서도 조사단이 구성돼서 서버, 로그 등을 조사 중"이라며 "(LG유플러스 조사도) 좀더 진전이 있으면 동일한 방식으로 발표가 있을 것"이라고 설명했다.


◎공감언론 뉴시스 [email protected], [email protected]