해킹 피해 의심 서버 로그 백업본 확인
KT 서버 조기 폐기·허위보고 의혹 제기
KT 서버 조기 폐기·허위보고 의혹 제기
당초 폐기된 것으로 알려진 KT의 서버 로그가 확보되면서 무단 소액결제 피해의 전말을 풀 ‘열쇠’가 될 수 있을지 관심이 주목되고 있다.
KT가 소액결제 피해에 앞서 해킹이 의심된 구형 서버를 조기 폐기해 조사에 난항을 겪었으나, 최근 해당 서버의 로그 기록이 별도 백업돼 있었던 사실이 확인됐다.
소액결제에 필요한 개인정보가 어떻게 유출됐는지 미궁에 빠진 가운데, 해당 서버가 무단 결제 사태와 연관성이 있는지 여부가 관건이 될 것으로 보인다.
23일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 외부 보안업체를 통한 자사 서버 전수조사 과정에서 폐기됐던 서버 로그가 백업돼 있음을 뒤늦게 파악한 것으로 알려졌다. KT는 지난 15일 해당 사실을 확인하고, 같은 달 18일 임원회의를 거쳐 같은 날 저녁 민관 합동조사단에 공유했다.
업계에서는 이번 해킹 의혹과 무단 소액결제 피해와 연관성이 있을 가능성을 제시하고 있다. 피해가 의심되는 서버는 군포·구로·광화문(수어용) 고객센터의 구형 서버다. 광화문(수어용) 서버를 제외하면 무단 소액결제 피해가 잇달아 발생한 서울 금천구·경기 광명시 등과 지리적으로 가깝다.
다만 서버 폐기와 관련해 KT가 해명을 번복하면서 의도적으로 서버 종료를 서둘렀다는 의혹도 커지고 있다. 한국인터넷진흥원(KISA)는 지난 7월 19일 중국 배후로 추정되는 해킹 조직이 KT를 해킹해 고객 원격 점검용 사이트의 인증서를 탈취한 정황을 전달한 바 있다.
지난달 8일 미국 보안 전문지 프랙도 같은 의혹을 보도하자, 과학기술정보통신부는 KT에 자체 조사 결과를 제출할 것을 요청했다.
KT는 이 과정에서 원격상담 시스템 구형 서버를 당초 계획보다 앞당겨 폐기했다는 의심을 받고 있다. KT는 지난달 13일 침해 의혹이 없다는 조사를 발송하면서 군포·구로·광화문(수어용) 고객센터 구형 서버를 당초 예정보다 빠른 같은 달 1일 서비스 종료했다고 밝혔다. 이에 국회에서는 KT가 7월 KISA의 정보 탈취 정황을 전달받은 뒤 서버 종료를 서두른 것은 자료 폐기 의도가 아닌지 의혹이 불거졌다.
허위보고 의혹도 함께 제기되고 있다. KT가 국회에 구축형 서버 운영을 지난 8월 1일 종료했다고 보고했지만, 이후에도 일부 운영한 것으로 밝혀졌다. KT는 피해가 의심된 서버 8대 중 8월 1일에 2대, 6일 4대, 13일 2대를 폐기한 것으로 나타났다. KT는 13일 남은 서버 2대를 제출할 수 있었지만 모두 폐기했다고 허위보고한 셈이다.
KT 관계자는 “합동 조사단 조사에 성실히 임하고 있으며, 추가 사실이 확인되는 대로 설명하겠다”고 말했다. 이번 KT의 무단결제 사태는 이미 10여년 전부터 예고된 ‘보안참사’라는 지적도 나온다. 사고 원인인 ‘펨토셀(초소형 기지국)’에 대한 보안 경고가 전문가들 사이에서 수차례 나왔다.
2016년 한국정보처리학회에 발표된 논문 ‘위협 모델링 기법을 이용한 펨토셀 취약점 분석에 대한 연구’는 “펨토셀은 해킹 기술 발전하면서 개인정보 노출과 같은 심각한 문제가 발생 가능하다”고 경고했다.
이상휘 국민의힘 의원에 따르면 KISA도 2012년 수행한 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에서 펨토셀이 가질 수 있는 보안 위협 29가지를 제시, 보안 위험을 경고한 바 있다. 권제인 기자
