KT가 지난해 자사 서버가 대량 악성코드에 감염된 사실을 파악하고도 정부에 신고하지 않고 은폐한 정황이 드러났다. 동시에 초소형 기지국(펨토셀) 인증 체계가 허술해 불법 펨토셀이 KT 내부망에 침투할 수 있는 구조였던 사실도 확인되면서 소액결제 피해 확산 우려가 제기됐다. 

민관합동조사단은 6일 정부서울청사에서 중간 조사 결과를 발표하고 이같이 밝혔다.  조사단에 따르면 KT는 지난해 3∼7월 BPF도어와 웹셸 등 악성코드에 감염된 서버 43대를 자체 확인했음에도 이를 당국에 신고하지 않은 사실을 확인했다고 밝혔다. 해당 서버에는 성명, 전화번호, 이메일 주소, 단말기 식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다.

BPF도어는 은닉성이 매우 높아 탐지가 어려운 것으로 알려졌다. 일단 활성화되면 해커가 서버에 접속해 명령을 실행하거나 내부 데이터 도용이 가능하다. 웹셸 역시 원격으로 서버를 조작할 수 있는 수단이다. 올해 초 SKT 해킹 사례에서도 같은 악성코드가 사용된 바 있다.

조사단은 KT의 미신고 행위에 대해 "사안을 엄중히 보고 있다"며 "사실관계를 추가로 확인해 관계기관에 합당한 조치를 요청할 계획"이라고 밝혔다. 정보통신망법에 따르면 침해 사실을 확인하고도 신고하지 않을 경우 최대 3000만원 이하 과태료 처분 대상이 된다.

아울러 조사단은 이번 소액결제 피해의 주요 경로로 지목된 펨토셀 관리 체계에도 중대한 보안 허점이 있었다고 지적했다. 또 제작 외주사에 핵심 정보가 별다른 보안 통제 없이 제공됐고, 펨토셀 저장장치에서 이 정보가 쉽게 추출 가능했다. 

조사단은 "기지국 접속 기록이 남지 않은 소액결제 피해도 일부 확인됐다"며 "KT의 피해자 분석 방식에 누락이 없는지 재검증할 계획"이라고 밝혔다.

과학기술정보통신부는 최종 조사 결과와 법률 검토를 거쳐 KT에 대한 행정조치 여부를 곧 발표할 예정이다.

[스트레이트뉴스 설인호 기자]