이 기사는 2025년 11월 06일 16:36 thebell 에 표출된 기사입니다.

정부가 올해 9월 발생한 KT 외부 침해 사건에 대한 중간 조사 결과를 발표했다. 발표에 따르면 KT의 서버 43대가 SKT 해킹의 핵심 원인이었던 'BPF도어' 등 악성코드에 감염된 것으로 확인됐다. 해킹 사실을 알고도 늦게 신고하거나 은폐 시도를 한 정황도 드러나면서 대응 과정의 문제점도 나타났다.

책임 소재가 KT 쪽에 쏠리는 만큼 이탈자의 '위약금 면제' 가능성이 크게 높아졌다. SKT 역시 조사 결과 귀책이 회사 측에 있다고 인정되면서 번호이동 시 위약금을 받지 않겠다는 결정을 내렸다. 이를 실제로 이행할 경우 실적 및 재무에 상당한 부담이 될 수밖에 없다.

◇지연 보고·서버 폐기 은폐…정부 "수사 의뢰"

25일 과학기술정보통신부(과기정통부)는 정부서울청사에서 'KT 침해사고 중간조사 결과' 브리핑을 열었다. 민관합동조사단의 단장을 맡고 있는 최우혁 과기정통부 네트워크정책실장(사진) 등이 이날 브리핑에 참석했다.

조사단의 중간조사 결과에 따르면 KT의 서버 43대에는 BPF도어와 웹셸 등 악성코드에 감염된 기록이 남아 있었다. 이는 올 4월 SKT 해킹 사태 때 발견된 것과 동일한 종류다. 43대 서버 일부에는 단말기식별번호(IMEI)를 비롯해 가입자 이름, 전화번호, 이메일 주소 등의 정보가 담겨 있었다.

최 실장은 "포렌식을 하면서 정부가 BPF도어를 찾은 건 아니고 BPF도어를 검출하는 백신을 돌린 흔적을 찾았다"며 "이 흔적을 찾으면서 KT로부터 관련 자료를 받기 시작했고 현재 BPF도어는 지워진 상태"로 설명했다. 이어 "SKT 해킹 사태의 공격자와와 동일한지는 아직 얘기하기 너무 이르다"며 "최근에 KT로부터 자료를 받은 상황이라 조사를 더 진행해야 한다"고 말했다.

피해 확대 가능성도 언급했다. 최 실장은 "모든 가능성은 열려있다"면서도 "연계 서버를 찾다가 이렇게 BPF도어 탐지 등으로 확대한 상황이다. 조사단이 포렌식을 하다보면 더 나올 수도 있다"고 덧붙였다.

KT가 해킹 신고를 늦게 하거나 일부 은폐 시도를 한 정황이 드러나기도 했다. 우선 KT는 올 9월 1일 경찰로부터 특정 지역의 무단 소액결제가 발생했다는 사실을 전달받았고 관련된 이상 통신 호 패턴을 발견해 9월 5일 차단 조치를 했다. 하지만 침해 사실 신고는 9월 8일에 이뤄졌다. 현행법상 침해 사실을 인지하면 24시간 내에 한국인터넷진흥원(KISA)에 신고해야 한다.

아울러 KT는 '프랙 보고서'에 언급된 인증서 유출 정황과 관련된 서버를 올 8월 1일에 폐기했다고 KISA에 신고했다. 하지만 실제 폐기는 8월 1일을 포함해 같은 달 6일(4대), 13일(2대)에 걸쳐 진행됐다. 폐기 시점을 허위로 보고한 것이다. 폐기 서버 백업 로그가 있었지만 조사단에 곧바로 보고하지 않았다.

최 실장은 "정보통신망법상 침해사고 지연 신고가 이뤄졌을 경우 내리는 처벌은 과태료(3000만원) 부과 밖에 없다"며 "서버 폐기 허위 신고 관련해서는 형법상 위계에 의한 공무집행 방해를 들어서 수사 의뢰를 맡겼다"고 말했다.


◇귀책사유 확산, 위약금 면제시 재무적 손실 불가피

이번 정부 발표 전까지 KT는 위약금 면제에 대해 신중한 태도를 보이고 있었다. 김영섭 KT 대표는 올 10월 29일 국회에서 열린 과학기술정보방송통신위원회 종합감사에 출석해 "위약금 면제와 관련해서는 정부 조사 결과가 나온 뒤 피해 내용을 종합적으로 고려해야만 한다"고 답한 바 있다. 이달 4일 열린 이사회에서도 위약금 면제는 논의조차 되지 않았다..

다만 KT의 비협조적인 행태와 각종 귀책 사유가 드러나면서 위약금 면제 가능성이 높아졌다. 조사단의 중간조사 결과에 따르면 펨토셀이 모두 같은 인증서를 쓰고 있었고 유효 기간은 10년에 달했다. 인증서를 복사만 하면 불법 장비가 쉽게 KT 망에 붙을 수 있었던 것이다. 아울러 비정상 IP 차단이나 장비 등록 여부 확인 등 기본적인 인증·접속 통제가 되지도 않았다.

SKT에 적용됐던 위약금 면제 기준이 동일하게 적용될 경우 KT도 이를 피하기는 어려울 것으로 보인다. 당시 정부는 △사업자 과실 △안전한 통신 서비스 제공 의무 위반 △관련 법령 위반을 기준으로 삼았다. 이번 외부 침해 조사에서 드러난 정황 역시 세 조건을 상당 부분 충족한 만큼 KT가 같은 잣대를 피하기는 어려울 것으로 전망된다.

정부는 일단 조사를 더 진행한 뒤 위약금 면제 여부를 결정하겠다는 입장이다. 최 실장은 "조사를 어느 정도 하고 사실 관계를 확인한 뒤 SKT처럼 법률 자문을 적정 시점에 받은 후에야 얘기할 수 있을 것"이라며 "문제되는 부분들이 더 나올 수도 있고 피해 범위도 특정해야 한다"고 했다.