(☞한겨레 뉴스레터 H:730 구독하기. 검색창에 ‘h:730’을 쳐보세요.)
케이티(KT)가 지난해 최소 40여대 서버의 사이버 침해 사실을 알고도 이를 숨긴 채 ‘해킹 걱정 없는 통신사’를 내세워 신규 가입자를 늘린 것을 두고 비판이 이어지고 있다. 케이티의 잇따른 거짓말에 정부 관계 부처의 불신도 커지는 모양새다.
민관합동조사단은 지난 6일 케이티가 지난해 3~7월 서버 43대의 악성코드 감염을 발견했지만, 이를 법령에 따라 정부에 신고하지 않고 자체 처리했다며 회사의 은폐 의혹을 제기했다. 해킹을 확인한 케이티가 백신 프로그램을 돌려 악성코드를 제거한 탓에 올해 5월 정부의 긴급 점검에선 “이미 비피에프(BPF)도어가 다 지워진 상태”였다는 게 조사단의 설명이다. 같은 시기, 케이티는 에스케이(SK)텔레콤 해킹 사태로 가입자 이탈이 발생하자 영업 현장에서 “해킹에서 안전한 케이티” 등의 문구를 내걸고 신규 가입자 유치에 열을 올렸다. 동일한 해킹 피해를 은폐하고도, 오히려 소비자 불안을 호도하는 방식으로 영업에 나섰다는 비판이 나올 수 있는 대목이다.
조사단이 새로 발표한 2024년 서버 악성코드 감염 피해는 지난 9월 회사가 한국인터넷진흥원(KISA)에 신고한 사이버 침해 건과 별개의 해킹 사고라는 게 케이티의 설명이다. 앞서 케이티는 지난 5월부터 외부 보안업체에 의뢰해 4개월 동안 전사 서버를 조사한 결과 발견된 서버 침해 흔적 4건 등을 9월18일 당국에 신고했다. 지난해 서버 악성코드 감염을 정부 신고 없이 자체 해결한 뒤에도 2차 해킹 피해를 막지 못했던 셈이다.
케이티는 지난해 서버 악성코드 감염 사실을 정부에 신고하지 않은 것에 대해 “송구하다”면서도 그 이유에 대해 납득할 만한 설명을 내놓지 않고 있다. 한 업계 관계자는 “(해킹 미신고가) 케이티 정보보호 담당 부서의 일상적인 업무 행태였거나, 광범위한 개인정보 유출을 회사가 감당할 수 없어 피해를 숨겼을 것으로 추정된다”고 말했다. 지난해 8월 개정 정보통신망법이 시행돼 ‘24시간 내 사이버 침해 신고’가 의무화된 이후에도 미신고에 대한 처분은 3천만원 이하 과태료에 불과하다는 점, 기업의 자진 신고 없이는 정부가 조사에 나설 수 없다는 점도 케이티의 해킹 은폐에 영향을 끼쳤을 것이란 게 업계 안팎의 시각이다.
한편, 정부는 지난달 미국 보안 전문매체 ‘프랙’(Phrack)이 제기한 해킹 의혹을 조사하는 과정에서 케이티가 서버 폐기 시점을 허위로 제출하고, 폐기 서버 백업 로그를 숨긴 것과 관련해 회사를 위계에 의한 공무집행방해 혐의로 수사 의뢰했다고 전했다. 이는 지난해 3~7월 서버 43대의 악성코드 감염과는 별개다.
댓글목록
등록된 댓글이 없습니다.