▲ 최우혁 과학기술정보통신부 네트워크정책실장이 6일 서울 종로구 정부서울청사에서 KT 침해사고 중간 조사결과를 발표하고 있다.
개인정보가 포함된 KT 서버가 악성코드 'BPF도어'(BPFDoor)에 감염된 사실이 뒤늦게 드러났지만 KT는 '개인정보 유출' 신고를 하지 않은 것으로 확인됐습니다.
유출 정황을 발견하지 못했다는 이유지만, 같은 계열 악성코드로 수천만 명의 개인정보가 빠져나간 SK텔레콤(SKT) 사례를 감안하면 KT 역시 개인정보가 외부로 유출됐을 가능성이 크다는 지적이 나옵니다.
오늘(7일) 정부에 따르면 KT 해킹 사고를 조사 중인 민·관 합동조사단은 전날 KT가 지난해 3∼7월 사이 BPF도어와 웹셸(Webshell) 등 악성코드에 감염된 서버 43대를 자체 확인하고도 관계기관에 신고하지 않았다고 발표했습니다.
조사단에 따르면 해당 서버에는 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었습니다.
BPF도어는 올해 초 SKT 해킹 사태에서도 사용된 악성코드로, 서버 내부에 장기간 잠복하며 탐지를 피하는 은폐형 공격 수단으로 알려져 있습니다.
하지만 KT는 현재까지 개인정보 유출 신고를 하지 않은 것으로 파악됐습니다.
개인정보 유출 정황이 발견되지 않았다는 이유에서입니다.
현행 개인정보보호법 시행령은 개인정보처리자가 1천 명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 되면 72시간 이내에 개인정보보호위원회에 신고하도록 규정하고 있습니다.
KT 관계자는 "민관합동조사단도 개인정보 유출이 확인된 내용은 없다고 발표했다"며 "KT의 입장도 같다. 개인정보 유출 정황이 보이지 않아 신고하지 않은 것"이라고 밝혔습니다.
업계에서는 SKT 사례를 감안할 때 KT의 개인정보가 외부로 유출됐을 가능성을 완전히 배제하기 어렵다는 지적이 나옵니다.
앞서 SKT는 해킹으로 LTE·5G 전체 이용자 2천324만 4천649명(알뜰폰 포함·중복 제외)의 개인정보가 유출된 것으로 확인됐습니다.
SKT 서버에서는 BPF도어 계열 27종을 포함해 타이니셸 3종, 웹셸, 오픈소스 악성코드 크로스C2, 슬리버 등 총 33종의 악성코드가 발견됐습니다.
이에 개인정보위는 개인정보보호법 위반 책임을 물어 SKT에 역대 최대인 과징금 1천347억 9천100만 원과 과태료 960만 원을 각각 부과했습니다.
개인정보위는 KT의 악성코드 감염 건에 대해 개인정보 유출 여부와 지연 신고 가능성 등을 함께 살펴볼 계획입니다.
개인정보위 관계자는 "이미 불법 초소형 기지국(팸토셀)을 활용한 무단 소액결제 사건과 관련해 KT를 조사 중이며, 조사관들이 현장에 나가 있다"며 "BPF도어 감염으로 인한 개인정보 유출 여부 역시 당연히 포함해 조사할 것"이라고 밝혔습니다.
이어 "KT의 신고가 없더라도 인지 조사가 가능하다"며 "과학기술정보통신부로부터 민·관 합동조사단의 조사 내용도 모두 공유받았다"고 덧붙였습니다.
(사진=연합뉴스)
