![김영섭 KT 대표가 지난 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액 결제 피해와 관련해 고개 숙여 사과하고 있다. [연합]](https://cgeimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=3&simg=202509191240030034148439a4874112222163195.jpg&nmt=29)
![김영섭 KT 대표가 지난 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액 결제 피해와 관련해 고개 숙여 사과하고 있다. [연합]](https://cgeimage.commutil.kr/phpwas/restmb_allidxmake.php?pp=002&idx=999&simg=202509191240030034148439a4874112222163195.jpg&nmt=29)
KT가 자사 서버 침해 사실을 인지하고도 법정 신고기한을 훌쩍 넘긴 사흘 후에야 당국에 신고한 것으로 드러나면서 '늑장 신고' 논란에 휩싸였다. 이미 무단 소액결제 사건으로 여론의 뭇매를 맞고 있는 상황에서 또다시 기본적인 신고 의무마저 제대로 이행하지 않은 것이어서 비판을 피하기 어려울 전망이다.
19일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 확보한 KT의 한국인터넷진흥원(KISA) 침해사고 신고 자료에 따르면, KT는 서버 침해 인지 시점을 9월 15일 오후 2시로 명시했다. 그러나 정작 KISA에 신고를 접수한 시간은 사흘이 지난 18일 밤 11시 57분 30초였다.
현행법상 기업은 해킹 피해를 최초로 확인한 시점부터 24시간 이내에 의무적으로 신고해야 한다. KT는 이 규정을 72시간 가량 위반한 셈이다. 업계에서는 이러한 늑장 신고가 관행처럼 반복되고 있다는 지적이 나온다. 실제로 지난 4월 해킹 피해를 당한 SK텔레콤도 신고 기한을 넘겨 접수해 비슷한 비판을 받은 바 있다.
KT는 사고 발생 시간에 대해서는 '확인불가'로 기재했으며, 사고 내용은 '제3자 보안 점검 활동에 따른 침해 정황 확인'이라고 밝혔다. KT는 SK텔레콤 해킹 사태 이후 외부 보안업체를 통해 자체적으로 서버 조사를 4개월간 진행해왔으며, 그 과정에서 심각한 보안 침해 정황들을 다수 확인했다.
KISA에 보고된 내용에 따르면, KT는 총 4건의 침해 흔적을 발견했다. 구체적으로는 윈도우 서버 침투 후 측면 이동 시도, Smominru 봇넷 감염, VBScript 기반 원격코드 실행 및 민감정보 탈취, Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공 등이다. 이는 단순 침투 시도를 넘어 실제로 민감정보가 유출됐을 가능성을 시사하는 심각한 보안 사고들이다.
여기에 더해 2건의 침해 의심 정황도 포착됐다. 리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성, Rsupport 서버의 의심 계정 생성 및 비밀키 유출이 그것이다. 이러한 정황들은 해커가 시스템에 지속적으로 접근할 수 있는 백도어를 설치했을 가능성을 보여준다.
"브리핑 전날 밤에 알았다"는 해명
KT는 이날 오전 정부 합동 브리핑 직전 긴급 자료를 배포해 서버 침해 사실을 뒤늦게 공개했다. 문제는 전날 저녁 진행된 무단 소액결제 사건 2차 브리핑에서는 이러한 사실을 전혀 언급하지 않았다는 점이다.
하지만 4개월간 진행된 보안 점검 결과를 경영진이 브리핑 전날 밤에야 보고받았다는 설명은 조직 내 보안 사고 대응 체계에 심각한 문제가 있음을 드러낸다. 더욱이 법정 신고기한을 3일이나 넘긴 시점에서야 뒤늦게 공개한 것은 투명한 정보 공개를 요구하는 여론을 의식한 것 아니냐는 의혹도 제기된다.
통신업계에서는 이번 KT 사태가 국내 주요 통신사들의 보안 관리 실태와 사고 대응 체계 전반에 대한 점검이 필요함을 보여주는 사례라는 분석이 나오고 있다.
[글로벌에픽 안재후 CP / anjaehoo@naver.com]
<저작권자 ©GLOBALEPIC 무단 전재 및 재배포 금지>
