KT가 지난해 악성코드 감염 서버를 발견하고도 정부에 신고하지 않았다는 사실이 드러났다. 감염된 서버 일부에 소액결제에 필요한 정보가 저장된 가운데 불법 초소형 기지국(펨토셀)을 이용한 무단 결제 사건과의 연관성에 관심이 쏠린다.
최우혁 과학기술정보통신부 네트워크정책실장은 6일 서울 정부청사에서 열린 KT 침해사고 중간 조사결과 브리핑에서 "KT가 지난해 악성코드 침해사고를 인지하고도 정부에 신고하지 않고 자체적으로 조치한 사실을 발견했다"며 "해당 서버들은 펨토셀과 연관이 있는 서버"라고 밝혔다.
KT는 지난해 3월부터 7월까지 BPF도어·웹셸 등 악성코드에 감염된 서버 43대를 발견했지만 이를 정부에 신고하지 않았다. 합동조사단은 포렌식 조사 과정에서 KT가 BPF도어 검출 백신을 시행한 흔적을 확인했고, KT에 관련 내역 제출을 요구하며 해당 사실이 밝혀졌다.
최 실장은 "43대라는 수치는 KT가 보고한 것이다. 합동조사단 차원에서 철저한 검증이 필요하다. 조사 과정에서 감염 서버가 더 늘어날 가능성도 있다"며 "구체적인 악성코드의 종류와 수 등은 가능한 선에서 향후 조사를 통해 공개하겠다"고 말했다.
BPF도어는 SK텔레콤 가입자 개인정보 유출사고에서 이용된 악성코드다. SK텔레콤의 개인정보 유출 직후인 지난 5월 통신3사는 BPF도어 전수조사를 진행했다. 당시에는 KT의 감염사실이 밝혀지지 않았다.
최 실장은 "KT가 BPF도어 자체를 삭제했기 때문에 5월 전수조사에서는 해당 내역이 발견되지 않았다"며 "이번 포렌식 조사 과정에서 KT가 BPF도어 검출 스크립트(백신)을 돌린 흔적이 발견돼 관련 내역을 요구한 것"이라고 전했다.
감염된 일부 서버에는 이름·전화번호·이메일·단말기식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다. 해당 서버가 펨토셀과 연관된 만큼 펨토셀을 이용한 무단 소액결제 사건과 연관돼 있을 가능성도 높아지고 있다.
최 실장은 "해당 사실을 최근에서야 파악해 조사를 진행하고 있는 중"이라며 "무단 소액결제 사건과의 연관성에 대해서는 정밀한 조사와 확인이 필요하다"고 말했다.
