KT, 서버 침해 3일 뒤 신고…“내부 검증 거치느라 시간 걸려”

KT가 서버 해킹 사실을 인지한 지 사흘 뒤에야 당국에 신고를 마쳐, ‘24시간 내 신고’ 규정을 어긴 것으로 확인됐습니다.

오늘(19일) 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 한국인터넷진흥원(KISA) 침해사고 신고 내용에 따르면, KT는 서버 침해 인지 시점을 지난 15일 오후 2시로 명시했습니다.

반면 신고 접수는 18일 오후 11시 57분 30초에 이뤄졌는데, 우리 법은 기업이 최초로 해킹 피해를 확인한 시점에서 24시간 안에 신고하도록 규정하고 있습니다.

과거 SKT 유심 정보 해킹 사건에서도 나타났던 ‘늑장 신고’ 대처가 또 한 번 반복된 셈입니다.

KT는 그러나 “9월 15일 외부 보안 전문 기업에 의뢰한 점검 결과 보고서를 수령했고, 이후 보고서에 담긴 내용이 맞는지 사실 관계 여부를 확인하느라 시간이 걸린 것”이라고 설명했습니다.

아직 KT 내부의 어떤 서버가 공격받았으며, 어떤 정보가 유출됐는지는 확인되지 않았습니다.

접수된 신고 내용에 따르면, KT는 사고 발생 시간은 ‘확인 불가’로, 사고 내용은 ‘제삼자 보안 점검 활동에 따른 침해 정황 확인’이라고 밝혔습니다.

보다 구체적으로는 4건의 서버 침해 흔적과 2건의 침해 의심 정황이 발견됐다고 했는데, ‘▲윈도 서버 침투 후 측면 이동 시도 ▲Smominru 봇넷 감염 ▲VBScript 기반 원격 코드 실행 및 민감정보 탈취 ▲ Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공’이 침해 흔적으로 명시됐습니다.

또 의심 정황으로는 ‘▲리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 ▲Rsupport 서버 의심 계정 생성 및 비밀키 유출’ 등 2건을 보고했습니다.

이러한 보고 내용을 종합하면, KT 서버는 대규모 악성 코드 네트워크인 ‘Smominru 봇넷’에 감염돼 추가 악성 코드 설치나 내부 데이터 유출이 가능한 상태가 된 것으로 보입니다.

공격자는 윈도 서버에 침투 후 해당 서버를 떠나 네트워크 내부의 다른 시스템으로 이동했으며, 이 과정에서 서버 안의 각종 중요 데이터가 유출되었을 가능성이 높습니다.

다만, KT는 아직 유심 인증키는 유출되지 않은 것으로 보인다며, 이른바 ‘복제폰’이 만들어질 가능성은 없다고 일축했습니다.

다크웹 등에서 유출 정황이 확인되지 않은 데다, 유심 인증키 자체가 암호화돼 있기 때문에 ‘복제폰’ 생성은 불가능하다는 설명입니다.

앞서 KT는 오늘 오전 사이버 침해사고와 관련한 정부 합동 브리핑 직전 긴급 자료를 내고, 어젯밤 서버 침해 사실을 확인해 당국에 신고를 마쳤다고 밝혔습니다.

KT는 어제 오후 무단 소액결제 관련 2차 브리핑에서는 서버 침해가 발생했다는 사실을 공개하지 않았는데, 구재형 KT 네트워크기술본부장은 담당 부서가 달라 이를 미처 몰랐다는 취지로 설명했습니다.

KT는 초소형 기지국 ‘팸토셀’을 악용한 무단 소액 결제로 362명이 총 2억 4천만 원의 피해를 보았으며, 이용자 2만 명의 가입자식별번호(IMSI)와 단말기식별번호(IMEI), 휴대전화 번화 유출 정황이 확인됐습니다.

최근에는 미국 보안 전문지 ‘프랙’에 의해 해킹 정황도 보도됐는데, 정부는 민관 합동조사단을 꾸려 정확한 범행 경위 등을 조사하고 있습니다.

■ 제보하기
▷ 전화 : 02-781-1234, 4444
▷ 이메일 : kbs1234@kbs.co.kr
▷ 카카오톡 : 'KBS제보' 검색, 채널 추가
▷ 카카오 '마이뷰', 유튜브에서 KBS뉴스를 구독해주세요!

강푸른 기자 (strongblue@kbs.co.kr)