[알파경제=이준현 기자] 국내 2위 통신사 KT가 정부기관으로부터 해킹 의혹을 통보받은 지 불과 13일 만에 관련 서버를 조기 폐기해 '증거인멸' 논란이 확산되고 있다.

의도적인 조사 방해라는 의혹이 제기되는 가운데, 최근 KT 가입자를 대상으로 한 대규모 소액결제 피해까지 속출하면서 소비자 불안이 가중되고 있다.

◇ 해킹 통보 13일 만의 '증거' 파기…자체 계획도 20일 앞당겼다

한국인터넷진흥원(KISA)이 최민희 의원실에 제출한 자료에 따르면, KT는 7월 19일 KISA로부터 원격상담시스템에서 해킹 의심 정황이 발견됐다는 공식 통보를 받았다.

KT는 이 통보를 받은 지 불과 13일 후인 8월 1일 해당 서버를 조기 폐기했다.

이는 KT 자체 계획과도 배치된다. KISA 자료에 따르면 KT는 7월 2일 내부 회의에서 신규 솔루션과 구형 원격상담시스템을 1~2개월간 병행 운영한 뒤 8월 21일 이후 폐기하기로 결정했었다.

KT는 정부의 해킹 의혹 통보 직후 계획을 뒤엎고 20일이나 앞당겨 서버를 파기한 것이다.

폐기 서버는 가상서버(VM)여서 일단 삭제되면 복구나 디지털 포렌식 분석이 원천적으로 불가능하다.

KISA가 8월 12일 관련 자료 제출을 요청했을 때 KT는 "서버 폐기로 자료 제출이 불가능하다"고 통보했다. 이로 인해 KISA는 정밀 조사에 난항을 겪고 있는 것으로 알려졌다.

최민희 국회 과학기술정보방송통신위원회 위원장은 "정부기관의 해킹 의혹 통보를 받은 뒤 문제의 서버를 폐기한 것은 의도를 의심하지 않을 수 없다"며 "증거인멸 의혹이 한층 더 짙어졌다"고 지적했다.

류제명 과학기술정보통신부 2차관도 국회에서 "해킹 흔적을 없애기 위해 일부러 파기했는지 등 여부는 확인해봐야 한다"고 답변해 정부 역시 KT의 행위에 의도성이 있을 가능성을 배제하지 않고 있음을 시인했다.

KT는 "비용 효율성을 고려한 정상적인 절차"라고 해명했지만, 거대 통신기업에게 가상서버 몇 주 추가 운영비는 미미한 수준이어서 설득력이 떨어진다는 평가다.
 

◇ "악성 링크 안 눌렀는데"…광명·금천 덮친 '유령' 소액결제

KT의 서버 파기 시점이 주목받는 것은 북한 해킹조직 '김수키'의 침투 의혹과 시기적으로 겹치면서 다양한 추측을 낳고 있기 때문이다.

미국 보안전문지 '프랙(Phrack)'이 공개한 보고서에 따르면, 김수키가 KT 웹서버의 보안 인증서와 개인키를 확보한 것으로 나타났다.

보안 전문가들은 이런 정보가 유출되면 해커가 KT와 사용자 간 통신을 도청하거나 가짜 KT 사이트를 만들어 추가 공격을 시도할 수 있다고 설명한다.

뿐만 아니라 지난달 말부터 경기 광명시와 서울 금천구에서 KT 이용자들을 대상으로 한 대규모 소액결제 피해가 속출했다.

경기남부경찰청에 따르면 광명 지역에서만 26명이 피해를 신고했고, 금천구에서도 14건의 피해 신고가 접수됐다. 피해액은 광명에서 1769만원, 금천에서 800만원에 달한다.

범행은 주로 새벽 시간대에 모바일 상품권 구매나 교통카드 충전 명목으로 이뤄졌다.

특히 주목되는 것은 피해자들이 스미싱 범죄의 전형적 수법인 악성 링크 클릭이나 의심스러운 앱 설치를 하지 않았다는 점이다. 이는 개인 단말기가 아닌 통신사 네트워크 레벨에서 공격이 감행됐을 가능성을 시사한다.

경찰과 보안 당국은 이번 소액결제 사건이 통상의 스미싱 범죄와 양상이 다르다며 여러 가능성을 열어두고 수사 중이라고 밝혔다.

다만, 김수키 해킹 의혹과 광명·금천 소액결제 피해 간의 연관성은 아직 확인되지 않은 상태다.

KT 측은 "내부망 해킹 흔적은 발견된 적 없고, 두 사건은 기술적 연관성이 낮다"며 "수사기관에서 조사중인 상황으로, KT는 수사기관 조사에 적극적으로 협조하고 있다"고 설명했다.

보안 전문가들은 "서로 다른 시기에 발생한 여러 사건들이 맞물리면서 KT의 서버 파기 타이밍에 대한 의구심이 커지고 있다"고 분석했다.
 

◇ 김영섭 CEO 직속 보안단도 '무용지물'…KT의 10년째 '공허한 약속'

KT는 정보보안단을 실급으로 격상하며 보안 거버넌스를 강화했다.

2021년부터 정보보안실을 담당해온 황태선 최고정보보호책임자(CISO)를 상무로 승진시키고, 김영섭 CEO 직속 조직으로 재편했다. 황 상무는 CISO와 개인정보보호최고책임자(CPO)를 겸직한다.

하지만 황 상무가 4년간 정보보안실을 이끌어왔음에도 해킹 의혹과 서버 파기라는 문제가 불거졌다.

이는 KT의 고질적인 보안 실패가 단순한 조직 개편으로는 해결되지 않음을 보여주는 상징적 사건이다. KT의 보안 참사는 이번이 처음이 아니다.

2012년 해킹으로 873만명의 개인정보가 유출됐을 때, 표현명 당시 개인고객부문 사장은 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다"고 약속했다.

2년 뒤인 2014년에는 더 기초적인 해킹 툴에 의해 1200만명의 정보가 털렸다. 범인들이 사용한 '파로스 프록시'는 인터넷에서 누구나 쉽게 구할 수 있는 프로그램이었다.

2020년에는 KT가 조직적인 해킹팀을 운영해 고객 60만명의 PC를 해킹한 사실이 드러났다. 해킹팀은 '악성코드 개발', '유포와 운영', '감청' 담당으로 역할을 분담했으며, 고객들의 데이터를 실시간 감청했다.

이처럼 반복되는 실패 앞에서 KT의 "보안 강화" 약속은 공허한 메아리에 불과했다. 매번 "다시는 이런 일이 발생하지 않도록 최선을 다하겠다"는 판박이 같은 사과문만 반복될 뿐이었다.
 

◇ "보안 사고 반복 기업 강력 대처 해야"

이재명 대통령은 지난 4일 수석보좌관회의에서 "보안 사고를 반복하는 기업들에 대해 징벌적 과징금을 포함한 강력한 대처가 이뤄지도록 관련 조치를 신속하게 준비하라"고 지시했다.

대통령은 "개인정보 보호를 위한 보안 투자를 불필요한 비용으로 간주하는 잘못된 인식이 이런 사태의 배경은 아닌지 되짚어봐야 한다"며 기업의 도덕적 해이를 정면 비판했다.

최민희 국회 과방위원장도 "KT의 증거인멸 의혹도 철저하게 사실관계를 밝혀야 한다"고 촉구했다.

개인정보보호위원회도 KT 사태와 관련 조사 착수 여부를 조만간 결정할 방침이다.

고학수 개보위원장은 "내부적으로 보고서를 검토해 분석하고 있다"며 "기업에 연락해 어떤 상황인지 알려달라고 요청했으며, 상황을 파악하고 있다"고 밝혔다.

 

[ⓒ 알파경제. 무단전재-재배포 금지]