KT, 1년 전 펨토셀 관련 서버 악성코드 감염 사실 은폐

성명, 전화번호, 이메일주소, IMEI 등 개인정보 저장돼

KT(030200)가 무단 소액결제 사건 발생 1년 전 악성코드에 감염된 서버를 발견하고도 은폐한 사실이 드러나 파장이 커지고 있다. 해당 서버가 이번 사태의 핵심 범행 도구로 지목된 초소형 기지국(펨토셀)과 관련된 서버로 확인되면서 소액결제 인증 무력화에 필요한 정보 취득 경로 등 의문이 풀릴 수 있다는 분석이 나온다.

과학기술정보통신부 민관합동조사단은 6일 오후 정부서울청사에서 KT 침해 사고 중간 조사 결과를 발표했다. 조사단은 서버 포렌식 분석을 통해 KT가 악성코드 침해 사고를 신고하지 않고 자체 처리한 사실을 확인했다.

"서버 포렌식 과정서 백신 돌린 흔적…악성코드 감염 숨겨"

KT는 이번 사태와 연관성이 있을 수 있는 펨토셀 관련 서버 침해 정황을 숨긴 것으로 나타났다. KT는 지난해 3월~7월 BPF도어, 웹셸 등 악성코드 감염 서버 43대를 발견해 정부에 신고 없이 자체적으로 조치한 것으로 파악된다.

이 같은 사실은 조사단이 KT 서버를 포렌식 하는 과정에서 파악됐다. 해당 서버는 펨토셀과 관련이 있었고, KT는 일부 감염 서버에서 성명, 전화번호, 이메일주소, 단말기 식별번호(IMEI) 등 정보가 저장됐다고 조사단에 보고했다.

소액결제 인증 개인정보 유출 경로 가능성

이번 조사결과는 소액결제 인증에 필요한 나머지 개인정보 취득 경로를 파악하는데 중요한 단서가 될 것으로 보인다.

만약 펨토셀 관련 서버가 해킹됐다면 이번 사건은 1년 전부터 계획된 해킹 범죄로 볼 수 있다. 특히 악성코드에 감염된 서버를 통해 유출된 개인정보가 소액결제 인증 무력화에 이용됐을 가능성을 배제할 수 없다.

최우혁 과기정통부 네트워크정책실장은 "악성코드에 감염된 서버 43대와 관련해선 아직 관련 내용을 확인한 지 얼마 안 됐고, 자료를 받아 분석해 봐야 하는 상황"이라며 "거기에 얼마나 많은 개인정보가 있는지는 개인정보보호위원회 소관 사항인 부분도 있다"고 설명했다.

이어 "다만, 소액결제에 필요한 개인정보와 연관성이 있는지, 없는지 정밀하게 조사하고 확인이 필요하다"며 "현재로서는 단정적으로 말씀드리기가 어렵다"고 했다.

한편 지난 4월 SK텔레콤 유심 해킹 사태 때도 BPF도어 계열 악성코드가 서버 침투에 활용된 것으로 조사된 바 있다. 이후 정부는 KT와 LG유플러스를 대상으로도 BPF도어 침투 여부를 점검했지만, 감염 사실이 확인되지 않았다.

이를 두고 민관합동조사단 관계자는 "KT 측에서 지난해 이미 조치를 해서 올해 6월 점검 시에는 탐지되지 않았던 것"이라고 말했다.