소비자 안중에 없는 KT…무단 소액결제·서버 침해에도 ‘세월아 네월아’

[사진 = 연합뉴스]

KT가 서버 침해 사실을 인지하고도 사흘 뒤에야 당국에 신고한 것으로 확인됐다. 무단 소액결제 피해로 이미 논란이 커진 상황에서 법정 신고 기한인 24시간을 어겨 비판이 불가피하다.

19일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 확보한 KT의 한국인터넷진흥원(KISA) 침해 사고 신고 내용에 따르면, KT는 서버 침해 인지 시점을 9월 15일 오후 2시로 명시했다. 그러나 실제 신고는 18일 오후 11시 57분 30초에 접수됐다. 현행법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있다.

특히 KT는 사고 발생 시간은 ‘확인 불가’로 기재했고, 사고 내용은 ‘제3자 보안 점검 활동 중 침해 정황 확인’이라고 보고했다. SK텔레콤 해킹 사태 이후 외부 보안 업체와 함께 서버 조사를 진행해 온 KT는 △윈도 서버 침투 후 측면 이동 시도 △스모민루(Smominru) 봇내 감염 △비주얼베이직스크립트(VBScript) 기반 원격 코드 실행과 민감 정보 탈취 △메타스플로잇(Metasploit)을 통한 파일공유(SMB) 인증 시도 및 내부망 이동 성공을 비롯한 4건의 침해 흔적을 확인했다고 밝혔다.

또한 △리눅스 싱크 계정 조작 및 SSH 퍼블릭키 생성 △알서포트 서버에서 의심 계정 생성 및 비밀키 유출 2건의 침해 의심 정황도 보고됐다. 이 같은 정황은 단순한 취약점 노출을 넘어 실제 내부 시스템 접근 시도가 있었음을 보여주는 사례라는 게 보안업계 분석이다.

KT는 이날 오전 과학기술정보통신부·금융위원회 합동 브리핑 직전 서버 침해 사실을 공개했다. 지난 18일 열린 무단 소액결제 피해 2차 브리핑에서는 이 사실을 알지 못했다고 설명했다. 구재형 KT 네트워크기술본부장은 “서버 점검은 별도로 4개월간 진행된 사안이고 소액결제 사건과는 연결성이 없어 전날 저녁에야 내용을 확인했다”며 “브리핑 전에는 관련 사실을 알지 못했다”고 말했다.

정부는 KT 가입자들의 무단 소액결제 피해를 조사하는 민관합동조사단을 통해 서버 침해 건도 들여다볼 계획이다. KT 관계자는 “향후 정부 조사에 적극 협조해 조속한 시일 내에 침해 서버를 확정하고, 구체적인 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다”고 말했다.

한편 국회 과방위는 오는 24일 잇단 통신사·금융사 해킹 사고와 관련한 청문회를 열기로 했다. 과방위는 증인으로 김영섭 KT 대표, 김병주 MBK파트너스 회장, 조좌진 롯데카드 대표 등을 채택했다.