KT '폐기했다'던 서버 백업 확인…무단 소액결제 연관성 규명 주목

등록 2025.09.22 17:24:21수정 2025.09.22 18:38:24

박충권 "KISA·美 프랙, 해킹 의혹 제기한 서버 백업본 존재"

계획보다 이른 폐기로 논란…외부 보안기관 조사 과정서 확인

[서울=뉴시스] 최진석 기자 = KT 가입자의 무단 소액결제 피해 사고 원인으로 가상의 유령기지국 운영 의혹이 제기되자 정부가 긴급 점검에 돌입한 10일 서울 한 KT대리점에 KT로고가 보이고 있다.

과학기술정보통신부는 지난 8일 KT가 무단 소액결제 침해사고 원인의 하나로 불법 초소형 기지국의 통신망 접속을 언급했다고 밝혔다. 해커가 불법 초소형 기지국을 활용해 정보를 탈취했는지 여부 및 어떤 방식으로 무단 소액결제가 이뤄졌는지에 대해 정밀 조사 중이다. 2025.09.10. [email protected]

[서울=뉴시스] 심지혜 기자 = KT가 해킹 의혹을 받은 구형 서버를 조기 폐기해 논란이 커진 가운데, 해당 서버의 로그 기록이 별도로 백업돼 있던 사실이 확인됐다. 무단 소액결제 피해와의 연관성을 규명할 단서가 될지 주목된다.

22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 제출받은 자료에 따르면, KT는 지난 15일 이미 폐기한 서버의 로그가 백업돼 있음을 확인하고 이를 민관 합동조사단에 공유했다.

KT는 앞서 7월 19일 한국인터넷진흥원(KISA)으로부터 중국 배후의 국제 해커그룹이 개인 PC에서 인증서(rc.kr.co.kr)를 탈취한 정황을 확인했다는 통보를 받은 뒤, 8월 1일 원격상담시스템 서버를 앞당겨 폐기했다는 의혹을 받았다.

이와 관련, KT는 최근 브리핑에서 해당 시스템이 고객이 인터넷 장애로 콜센터에 전화했을 때 상담원이 안내해 접속하는 단순 원격 지원 웹페이지였다고 해명했다. 고객 개인정보를 보관하지 않는 구조였고, 유출 의혹이 제기된 인증서 또한 2022년에 이미 만료된 상태였다는 것이다. KT는 내부적으로 2024년 9월까지 클라우드 전환을 목표로 단계적 종료 계획을 세웠으며, 올해 3월 1차, 7월 2차 병행 운영을 거쳤다. 5월에는 클라우드 솔루션이 더 안정적이라는 판단에 따라 8월부터 본격 전환을 진행했다는 설명이다.

박 의원실에 따르면 KT는 7월 자체 조사에서 유출 정황을 확인하지 못했고, 정보보안실 요청에 따라 기존(구축형) 서비스와 신규(클라우드형)서비스의 병행 운영을 단축해 8월 1일에 기존 서비스를 종료했다.

이 가운데 지난달 미국 보안 전문지 프랙도 KISA와 동일한 웹사이트 인증서와 개인키가 유출됐다는 의혹을 제기했다. 이에 정부는 자료 제출을 요청했으나 KT는 관련 서버를 폐기했다고 보고했다.

그러나 실제로는 서버 기록이 존재했던 것으로 확인됐다. KT는 앞서 경쟁사 해킹 사고 발생 이후인 지난 5월부터 이달 초까지 외부 보안 전문기업을 통해 전사 서버 점검을 진행했는데 이 과정에서 백업 사실을 뒤늦게 파악한 것이다.

KT 정보보안실은 8월 1일 서비스 종료가 서버 폐기와 동일하다고 인식해 정부에 이같이 보고했으나, 전문기업 조사를 통해 실제로는 최종 13일에 폐기가 됐던 것이다.

정보보안실은 이달 15일에 백업로그의 존재를 확인했고, 18일 임원회의를 거쳐 민관합동 조사단에 이 내용을 공유했다.

이와 별개로, 프랙의 KT 해킹 발표 이후 무단 소액결제 피해가 초소형 기지국(펨토셀)을 통해 이뤄진 사실이 드러났다. 소액결제는 원칙적으로 개인정보 입력과 본인 인증 절차가 필요해, 단순 기지국 접속만으로는 결제가 어렵다. 이 때문에 일각에서는 KT 서버 해킹 의혹과 무단 소액결제 사건이 맞물려 있을 가능성을 제기하고 있으며, 관련성 여부는 추가 조사가 필요한 상황이다.

KT 관계자는 “합동 조사단 조사에 성실히 임하고 있으며, 추가 사실이 확인되는 대로 설명하겠다”고 밝혔다.

◎공감언론 뉴시스 [email protected]