KT, 서버 침해까지 드러나며 '복제폰 가능성' 배제 못해

무단 소액결제 사태로 논란에 휘말린 KT에서 자사 서버 침해 정황까지 드러나며 파장이 전방위로 확산하고 있다.

가입자식별정보(IMSI)와 국제단말기식별번호(IMEI)에 이어 서버까지 뚫린 사실이 확인되면서, KT가 선을 그어왔던 '복제폰' 가능성도 점차 배제하기 어렵다는 지적이 제기된다.

KT는 19일 보안업체의 전사 서버 점검 결과를 바탕으로 침해 흔적 4건과 의심 정황 2건을 확인하고, 전날 자정 무렵 한국인터넷진흥원(KISA)에 이를 신고했다고 밝혔다. 서버 침해 사실은 지난 15일 이미 인지했으나, 이틀 이상이 지나서야 신고가 이뤄져 늑장 대응 논란도 불거졌다.

KT 측은 이번 서버 침해가 소액결제 사건과 별개로 진행된 보안 점검에서 확인된 것이라고 해명했지만, 사건 초기부터 계속된 정보 유출 축소 시도라는 비판은 피하기 어려운 분위기다.

KT는 당초 "개인정보 해킹 정황은 없다"고 강조했지만, 이후 펨토셀 2대를 통해 5000명 이상의 IMSI가 유출됐다고 발표했고, 2차 브리핑에서는 펨토셀이 4대로 늘었으며 IMEI와 휴대전화 번호까지 유출됐다고 인정했다. 실제 피해자도 278명에서 362명으로, 피해액은 1억7000만원에서 2억4000만원으로 증가했다.

특히, 서버 침해 신고서에는 △ 윈도우 서버 침투 후 측면 이동 시도 △ 민감정보 탈취 정황 △ Metasploit 도구를 활용한 SMB 인증 우회 등 구체적 해킹 방식이 명시됐다. 이와 함께 SSH 계정 조작과 비밀키 유출 정황도 포함되며 민감한 정보 접근 가능성이 우려된다.

KT는 "현재까지 유출된 정보는 확인되지 않았다"고 선을 그었지만, 서버 침해와 가입자 정보 유출이 맞물리며 복제폰 생성에 필요한 인증키까지 유출됐을 가능성도 제기되고 있다.

KT는 줄곧 “인증키가 저장된 서버는 안전하다”며 복제폰 가능성을 부정해 왔으나, 서버 침해 사실이 드러나면서 이 같은 주장을 고수하기 어려운 상황이다.

류제명 과학기술정보통신부 제2차관도 복제폰 가능성에 대해 “조사내용에 대해 구체적으로 확인해드리기 어렵다”고 답변을 유보했다.

일각에서는 해커가 윈도우 서버에 침투한 후 다른 내부 서버로 이동한 흔적이 있어 피해 범위는 인증 관련 장비와의 연관성에 따라 달라질 수 있다는 의견이 나온다.