정부 “KT도 필요하면 영업정지”

KT가 지난해 악성코드 감염 서버를 확인하고도 이를 정부에 신고하지 않은 사실이 드러난 가운데 정부가 KT에 엄중 경고했다. 가입자 피해가 확대될 경우 SK텔레콤 사례처럼 KT에도 영업정지 등 강도 높은 제재를 적용할 수 있다는 것이다.

최우혁 KT 침해사고 민관합동조사단장(과학기술정보통신부 네트워크정책실장)은 6일 KT 침해사고 관련 1차 중간 브리핑에서 이같이 밝혔다.

최 단장은 “4월 SK텔레콤은 해킹 피해 고객에게 지급할 유심이 부족한 상태에서 신규 영업을 계속하는 부도덕한 행위를 했다”며 “이를 막기 위해 정부가 신규 영업 정지 행정지도를 내렸다”고 설명했다. 그는 이어 “KT도 동일하게 국민과 가입자에게 피해가 가는 상황이 발생하면 정부는 엄중히 조치할 계획이다”라고 말했다.

조사단은 포렌식 분석을 통해 KT가 2024년 3월부터 7월까지 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 발견하고도 정부에 신고하지 않고 자체 조치한 사실을 확인했다. 조사단은 KT가 지적 이후에야 일부 서버에 성명과 전화번호와 이메일 주소와 단말기 식별번호(IMEI) 등이 저장돼 있었다고 뒤늦게 보고했다고 밝혔다.

최 단장은 “감염 서버 43대라는 숫자는 KT가 확인한 내용이다”라며 “현재 KT가 제출한 포렌식 자료를 분석 중으로 감염 서버 수는 더 늘어날 수 있다”고 말했다.

조사단은 KT가 말한 ‘자체 조치’가 악성코드 삭제인지, 서버 폐기인지, 운영체제(OS) 재설치인지 확인하려면 추가 조사가 필요하다고 밝혔다. 최 단장은 “악성코드 서버 43대는 KT가 먼저 밝힌 것이 아니라 조사단 포렌식 과정에서 확인된 사항이다”라며 “서버 폐기 등 KT가 어떤 조치를 했는지 조사단이 더 조사해야 한다”고 말했다.

조사단은 현재까지 유심 인증키 유출 정황은 없다고 밝혔다. 이동근 민관합동조사단 부단장(한국인터넷진흥원 디지털위협대응본부장)은 “유심 복제에 필요한 인증키 유출은 아직 확인되지 않았다”며 “다만 이번 악성코드 서버 추가 발견과의 관련성은 면밀히 살펴볼 예정이다”라고 말했다.

조사단은 이번 악성코드 43대 발견과 4월 SK텔레콤 해킹 이후 진행된 KT·LG유플러스 서버 전수 조사 결과와는 연관성이 없다고 설명했다. 최 단장은 “KT와 LG유플러스의 전수 조사는 5월에 진행됐고 당시에는 BPF도어가 이미 지워진 상태였다”고 말했다.

조사단은 이번 무단 소액결제가 불법 펨토셀을 통해 집중적으로 이뤄졌을 가능성을 가장 크게 보고 있다. 최 단장은 “펨토셀을 통한 무단 소액결제 해킹 가능성이 가장 크지만 모든 가능성은 열어두고 조사하고 있다”고 말했다.

KT의 위약금 면제 여부는 추가 법률 검토가 필요하다. 최 단장은 “조사 진행 후 SK텔레콤 때와 동일하게 법률 자문을 거쳐 적정 시점에 발표할 것”이라고 말했다.

조사단은 LG유플러스에 대해서도 KT와 동일 수준의 정밀 조사를 진행 중이다. 이 부단장은 “LG유플러스 내부 서버 관리용 계정 권한 관리 시스템(APPM) 서버 외 추가 유출 여부를 조사 중”이라고 말했다.

김광연 기자
fun3503@chosunbiz.com