KT, 해킹 알고도 사흘 뒤 신고···‘24시간 내 신고’ 법 위반
[시사저널e=김용수 기자] 무단 소액결제 사건이 발생한 KT의 서버 침해 정황이 추가로 확인됐다. 가입자 개인정보가 추가로 유출됐을 가능성이 제기되는 가운데, 어떤 정보를 담고 있는 서버인지, 실제 데이터 유출이 발생했는지, 소액결제 사건과 연관이 있는지 등은 확인되지 않았다. KT가 침해 사실을 인지하고 사흘 뒤에야 관계당국에 신고한 것으로 나타나면서 ‘늑장 대응’이란 비판은 피하기 어려워졌다. 정부는 기업 신고 없이도 직접 조사에 나서기로 하는 등 대책 마련에 나섰다.
19일 KT는 전날 오후 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다고 밝혔다. 지난 4월 SK텔레콤 해킹 사건 이후 KT가 외부 보안 기업에 의뢰해 약 4개월(5~9월)간 사내 서버를 조사했고, 그 결과 보고서를 통해 침해 정황을 확인한 것이다.
이번 조사 결과로 그간 가능성을 부인해왔던 인증키 유출과 복제폰 생성 가능성을 배제할 수 없게 됐다. 이날 정부 세종청사에서 진행된 사이버 침해사고와 관련 과학기술정보통신부와 금융위원회의 합동 브리핑에서 이동근 KISA 디지털위협대응본부장은 구체적으로 어떤 서버에 침투했는지에 대해 “세부 분석에 들어가야 해서 지금 말하기 어렵다”고 말했다.
아울러 KT가 해킹 공격 사실을 인지하고도 법정시한을 넘겨 당국에 신고한 것으로 나타나면서 늑장 대응이란 지적이 나온다.
실제 국회 과학기술정보방송통신위 소속 최수진 국민의힘 의원이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 지난 15일 오후 2시로 명시했다. 신고 시점은 인지 시점으로부터 3일이 지난 18일 밤 11시 57분이었다. 정보통신망법은 기업이 사이버 침해사고를 인지한 후 24시간 이내에 당국에 신고할 것을 의무화하고 있다.
KT는 전날 오후 무단 소액결제 사건 2차 브리핑을 진행했지만 서버 침해를 언급하지 않았다. 소액결제 피해 대응과 서버 점검이 별도로 진행됐기 때문에 소액결제 건을 대응하는 쪽에선 해당 내용을 인지하지 못했단 게 회사의 설명이다.
구재형 KT 네트워크기술본부장 상무는 이날 과기정통부와 금융위의 합동 브리핑에서 “상호 간 연결성이 없다 보니 어제 저녁에 해당 내용을 알게 됐다”며 “브리핑 전에 이 사실을 아는 상황은 아니었다”고 말했다.
정부는 KT 가입자들의 무단 소액결제 피해를 조사하는 민관합동조사단을 통해 서버 침해 건도 들여다볼 계획이다.
KT 관계자는 “향후 정부 조사에 적극 협조해 조속한 시일 내에 침해 서버를 확정하고, 구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다”고 말했다.
한편 KT발 개인정보 유출 범위와 피해 규모는 갈수록 확대되고 있다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 했지만, 11일 기자회견에서 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 또 지난 18일에는 불법 기지국 신호를 수신한 2만명의 국제단말기식별번호(IMEI)와 휴대전화 번호가 유출된 정황을 추가로 발표했다. 소액 결제 피해도 추가되고 있다. KT가 밝힌 무단 소액결제 피해자는 278명에서 362명으로, 피해 금액은 약 1억7000만원에서 약 2억4000만원으로 늘었다.