KT '서버 폐기' 의혹 추가로 나와…로그 기록도 존재(종합)

(서울=뉴스1) 이기범 김정현 기자 = KT(030200) 해킹 의혹과 관련해 폐기된 서버 중 일부가 정부에 폐기 보고 이후 추가 파기된 정황이 확인됐다. 해당 서버 로그 기록은 뒤늦게 발견돼 민관합동조사단에 공유됐다.

22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원과 이주희 더불어민주당 의원 등이 KT로부터 제출받은 자료에 따르면 KT는 지난 11일 한국인터넷진흥원(KISA)로부터 해킹 의혹과 관련한 자체 조사 결과 자료를 제출할 것을 요청받은 뒤 13일 해당 원격상담시스템 서버가 지난 1일 폐기됐다는 내용의 조사 결과를 발송했다.

그러나 해당 서버는 13일에도 폐기가 이뤄진 것으로 파악됐다. 해당 서버 총 8대 중 2대는 1일 폐기됐지만, 6일 4대, 13일 2대 등 총 세 차례에 걸쳐 서버가 폐기된 것으로 나타났다. 정부에 서버 폐기 사실을 보고한 당일에도 서버 폐기가 이뤄진 셈이다.

앞서 KT는 지난 7월 19일 KISA로부터 해킹 의혹을 통보받은 뒤 8월 1일 관련 원격상담시스템 서버를 폐기해 논란이 일었다.

당시 KT는 "2025년 3월 10일 시범운용을 통해 설루션의 안정성과 기능에 충분한 검증을 완료했다"며 "구독형 서비스로 단순 영상상담 기능만 제공하며 기존 업무 프로세스에 영향 없으며, 업무 영향도가 낮고 비용 효율성을 고려하여 추가 병행 운영 기간이 필요하지 않아 기존 시스템은 2025년 8월 1일 퇴역 처리했다"고 해명했다.

아울러 KT는 지난 15일 해당 서버의 백업 로그가 존재한다는 사실을 파악했다. 이후 18일 임원 회의 논의를 거쳐 같은 날 민관합동조사단에 공유했다.

백업 로그의 존재는 외부 보안전문 기업 조사 과정에서 확인됐다. KT는 올해 4월 SK텔레콤 해킹 사고 발생 이후 정확한 실태 점검을 위해 외부 보안전문 기업에 의뢰해 전사 서버를 대상으로 5월부터 9월 15일까지 약 4개월에 걸쳐 조사를 진행했다.

KT는 해당 조사 결과를 토대로 지난 18일 오후 11시 57분 서버 침해 흔적 4건과 의심 정황 2건을 KISA에 신고했다.

KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 '프랙 매거진'의 발표로 알려졌다. 프랙 매거진은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 '김수키'가 대한민국 주요 정부 및 군 기관과 주요 통신사에 지속해서 해킹 공격을 가했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다.

이후 소액결제 사건이 발생했다. KT 해킹 의혹과 이번 소액결제 사건과의 연관성은 추가 조사가 필요한 상황이다.

이날 KT 관계자는 "합동 조사단의 조사에 성실히 임하고, 추가 사실이 확인되는 대로 내용을 설명드리겠다"고 말했다.

Ktiger@news1.kr