19일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 확보한 한국인터넷진흥원(KISA) 신고 내용에 따르면 KT는 15일 오후 2시에 서버 침해 사실을 확인했음에도 불구하고 신고는 18일 오후 11시57분30초에야 접수됐다. 현행 법규는 기업이 해킹 피해를 최초 인지한 시점부터 24시간 이내에 신고하도록 의무화하고 있다.
앞서 SK텔레콤 역시 4월 해킹 피해 당시 기한을 넘겨 신고해 ‘늑장 대응’이라는 비판을 받은 바 있다. KT까지 동일한 전철을 밟으면서 기업들의 신고 관행에 대한 제도적 허점이 다시 도마에 오를 것으로 보인다.
KT가 제출한 신고서에 따르면, 이번 사고는 ‘제3자 보안 점검 활동 과정에서 침해 정황이 확인된 사례’로 기재됐다. 사고 발생 시간은 ‘확인 불가’로 명시됐으며, 신고 내용에는 △윈도우 서버 침투 후 측면 이동 시도 △Smominru 봇내 감염 △VBScript 기반 원격코드 실행 및 민감정보 탈취 △Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공 등 4건의 침해 흔적이 포함됐다. 의심 정황으로는 △리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 △Rsupport 서버 의심 계정 생성과 비밀키 유출 등 2건의 침해 의심 정황도 보고됐다.
KT는 전날까지 진행한 소액결제 사태 브리핑에서는 이 사실을 인지하지 못했다고 설명했다. 하지만 정부 합동 브리핑 직전 긴급 자료를 통해 SKT 사태 이후 외부 보안전문 기업에 의뢰해 전사 서버를 대상으로 약 4개월에 걸쳐 조사를 진행한 결과 추가 침해 정황을 확인했다고 밝혔다.
구재형 KT 네트워크기술본부장은 이날 통신사, 금융사 사이버 침해사고와 관련한 합동 브리핑에서 "서버 점검은 별도 진행 과제로 4개월간 진행했고 소액결제와 상호 연결성이 없다보니 어제 저녁에 그 내용을 알게 됐다"며 "브리핑 전에 이 사실을 아는 상황은 아니었다"고 해명했다.
류제명 과학기술정보통신부 제2차관은 "KT 설명에 따르면 KT는 5월부터 4월에 발생한 SK텔레콤의 침해사고 발생 직후에 자사의 통신망의 안전성 여부를 파악하기 위해서 외부 전문 보안업체를 용역을 통해서 보안점검을 실시했다고 밝혔다"며 "그 결과 5월부터 엊그제 9월 15일까지 진행된 보안점검 결과 보고서를 KT가 접수받았고 그 내용을 자체 검토하고 분석한 후에 어젯밤 보안 침해사고가 있었다는 사실을 신고하게 됐다고 밝혔다"고 설명했다. 이어 "이번 민관합동조사단을 통해서 이 사실까지 포함해서 저희가 면밀하게 들여다볼 생각"이라고 덧붙였다.
!['유튜브 리캡' 열기 활활…올해 연말 결산, 당신의 취향은? [솔드아웃]](https://img.etoday.co.kr/crop/320/200/2264572.jpg)
