KT를 발칵 뒤집하게 하는 사태가 또 벌어졌다... 이번에도 심상찮다

KT는 19일 오전 정부 합동 브리핑 직전 자사 서버에서 침해 흔적 4건과 침해 의심 정황 2건을 확인해 전날 자정쯤 한국인터넷진흥원(KISA)에 신고했다고 발표했다.

문제는 서버 침해 인지 시점은 지난 15일 오후 2시이고, 신고 접수는 전날 오후 11시 57분에 이뤄졌다는 점이다. 이는 관련법이 규정한 ‘24시간 신고 의무’를 위반한 것이다.

KT는 지난 4월 업계 해킹 사태 이후 자체적으로 보안업체 용역을 통해 서버 조사를 진행해왔다고 밝혔다. 4건의 침해흔적과 2건의 침해 의심 정황을 발견했다고 보고했다. 구체적으로는 윈도우 서버 침투 후 측면 이동 시도, Smominru 봇넷 감염, VBScript 기반 원격코드 실행 및 민감정보 탈취, Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공 등이다. 침해 의심 정황으로는 리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성, Rsupport 서버 의심 계정 생성 및 비밀키 유출 2건을 보고했다.

KT는 이날 오전 정부 합동 브리핑에서 서버 침해 사실을 공개했지만, 전날 진행한 무단 소액결제 사건 2차 브리핑 당시에는 해당 내용을 언급하지 않았다. 구재형 KT 네트워크기술본부장은 "소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 CISO 쪽에서 별도로 진행해 상호 연결성이 없었다"고 설명했다. KT 내부의 의사소통 체계가 무너진 게 아니냔 말이 나오는 이유다.

서버 침해가 확인되면서 가입자식별정보(IMSI)·국제단말기식별번호(IMEI)와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기되고 있다. KT는 어떤 정보가 유출됐는지 정확히 파악하지 못하고 있다고 밝혔다.

KT는 최근 미국 보안 전문지 '프랙'이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 보안 사고에 연루된 상황이다.

무단 소액결제 사태와 관련해선 KT의 발표 내용이 계속 번복되고 있다. KT는 소액결제 사태가 불거진 지난 4일부터 '개인정보 유출은 없다'고 밝혔다. 하지만 11일 기자회견에서는 불법 기지국을 통해 5561명의 IMSI가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 IMEI와 휴대전화 번호까지 유출됐다고 추가 발표했다.

피해 규모도 계속 확대되고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 늘어났다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다.

소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다.

연이은 사태로 KT의 정보보호 체계에 대한 점검이 불가피해졌다. 무단 소액결제부터 서버 침해까지 연이은 보안 사고가 발생하면서 KT의 보안 관리 능력에 대한 의문이 제기되고 있다. 아울러 김영섭 대표이사의 리더십에도 큰 타격이 불가피해지게 됐다.