KT가 폐기했다고 밝혔던 서버의 로그 기록이 별도로 백업된 사실이 확인되면서 이번 KT 무단 소액결제 피해와 미국 보안 전문지 '프랙'이 제기한 KT 해킹 의혹과 관련해 단서를 찾을 수 있을지 주목된다.

22일 국회 과학기술정보방송통신위원회 소속 국민의힘 박충권 의원이 KT로부터 받은 자료에 따르면, KT는 지난 15일 폐기된 서버의 로그가 백업돼 있는 것을 확인하고 이를 지난 18일 임원회의를 거쳐 같은 날 저녁 합동조사단에 공유했다.

KT는 올해 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악했다.

당초 프랙이 제기한 의혹은 해당 기간 KT의 서버가 폐기돼 조사가 어려울 것으로 전망됐으나 관련 기록이 보관된 사실이 확인되면서 분석이 가능할 것으로 보인다.

KT는 프랙의 의혹이 제기되기 전인 지난 7월 19일 한국인터넷진흥원(KISA)으로부터 해킹 조직이 정부 기관을 비롯한 KT와 LG유플러스를 해킹했다는 의혹에 대한 내용을 전달받은 후 원격상담시스템 구형 서버를 당초 계획보다 앞당겨 폐기했다는 논란을 빚었다.

국회 과학기술정보방송통신위원회 최민희 위원장은 "KT는 계획에 따라 서버를 폐기했다고 주장하지만 정부기관의 해킹 의혹 통보를 받은 뒤 문제의 서버를 폐기한 것은 그 의도를 의심하지 않을 수 없다"고 지적했다.

KT 설명에 따르면 지난달 8일 미국 보안 전문지 프랙이 KT의 'rc.kt.co.kr' 웹사이트의 인증서와 개인키 유출 의혹을 보고서를 통해 공개했고, 과기정통부는 KT에 자체 조사 결과 자료를 제출할 것을 요청했다.

이어 같은 달 13일 KT는 침해 의혹이 없다는 조사 결과를 발송하면서 군포·구로·광화문(수어용) 고객센터 구형 서버를 당초 예정보다 빨리 서비스 종료했다고 밝혔다. 이에 국회에서 자료 폐기 의혹이 불거진 것이다.

KT는 7월 조사 시에는 유출 정황을 확인하지 못했지만 사내 조직인 정보보안실 요청에 따라 8월 한달 기존 구축형 서버와 신규 구독형 서버의 병행 운영 기간을 단축해 8월 1일 기존 구축형 서버를 종료했다고 설명했다. 본래 폐기 예정일은 8월 21일 이후였다.

당시 정보보안실은 해당 서버에서 침해 정황이 발견되지는 않았지만 유출 경로가 파악되지 않은 상황에서 보안 우려를 감안해 조기 종료를 요청했다는 입장이다.

수어용인 광화문을 제외하면 KT의 군포·구로 서버가 무단 소액결제 피해가 잇따라 벌어진 서울 금천구·경기 광명시 등과 지리적으로 가까운데 따라 프랙의 보고서가 지적한 해킹과 KT의 서버 운영 조기 종료 조치, 무단 소액결제 사건이 연관된 것 아니냐는 의혹이 제기돼 왔다.

민관 합동 조사단 관계자는 "모든 것을 정밀하게 들여다 보는 중"이라고 밝혔다.

박충권 의원은 "KISA가 해킹 정황 정보를 KT에 통보했을 당시 무엇보다도 문제가 된 서버를 보존해 조사에 대비하는 것이 최우선이었음에도 이를 폐기한 것은 중대한 관리 부실"이라며 "해킹 의혹의 진상을 반드시 규명해야 한다"고 말했다.

한편 KT 무단 소액결제 사건의 피의자로 경찰에 검거된 중국인이 인구 밀집 지역을 범행 대상으로 삼은 것으로 조사됐다.

이번 KT 소액결제 피해 사건 과정에서 범행의 핵심 장비인 불법 초소형 기지국(펨토셀)을 차에 싣고 돌아다닌 혐의를 받는 중국인 피의자는 "'아파트가 많이 있는 곳으로 가라'는 지시를 받았다"고 주장했다. 이 같은 지시하에 자신의 승합차에 펨토셀을 싣고 경기 광명시와 서울 금천구 등에 있는 대규모 아파트 단지를 돌아다녔다는 입장이다.

다만 범행을 지시한 '윗선'이 누구인지는 밝혀지지 않은 가운데 경찰은 무단 소액결제 피해가 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평 일대에 국한되지 않고 광범위하게 일어난 사실이 뒤늦게 드러난 데 대해서 수사한다는 계획이다.

지난 20일 KT가 더불어민주당 황정아 의원에게 제출한 자료에 따르면 기존에 알려진 지역 외에 서울 동작구, 서초구, 고양시 일산동구에서도 KT 소액결제 피해가 발생했다.

[스트레이트뉴스 함영원 기자]