광명시 26명 소액결제 피해 이어 유튜버 A씨도 ‘1억 7000만 원’ 피해 사실 공개

KT가 해킹 의혹으로 논란의 중심에 선 가운데, 경기도 광명시에서 KT 이용자들을 대상으로 한 휴대전화 소액결제 피해 신고가 잇따르며 사건이 새로운 국면을 맞고 있다. 미국 보안 전문지 ‘프랙(Phrack)’이 공개한 KT 인증서 유출 사례에 이어 최근 한국인터넷진흥원(KISA)으로부터 해킹 통보를 받은 직후 KT가 핵심 서버를 폐기한 사실이 드러나 증거인멸 의혹이 제기된 상황에서, 이번 광명시 피해 신고는 해킹 가능성을 더욱 구체화하고 있다.<편집자주>

KT가 해킹을 당했을 가능성이 커지고 있다. 사진=AI
 

KT 해킹 의혹이 확산된 건 지난달 미국의 보안전문지 ‘프랙’이 북한 또는 중국 배후로 추정되는 해킹 조직이 국내 통신사 KT·LG유플러스와 정부 기관을 공격했다는 내용의 보고서를 공개하면서부터다.

이와 관련, 지난달 27일 KT는 해킹 사실 여부에 대한 <문화경제>의 질의에 “해킹 관련 특이사항이 발견된 것은 없다”고 답했다. 하지만 이후 드러난 상황은 해킹이 실제로 일어났을 가능성을 높이고 있다.

프랙 보고서에 드러난 KT의 인증서 유출 정황. 자료=프랙
 

프랙 보고서 발표 전, KISA의 해킹 제보와 KT의 초기 대응

지난 7월 19일 KISA는 KT에 원격상담시스템 서버의 해킹 의혹을 통보했다. KISA가 최민희 국회 과학기술정보방송통신위원장실(이하 과방위원장실)에 제출한 자료에 따르면, 문제된 서버 IP 주소는 KT의 원격상담시스템과 연관된 것으로 의심됐다. 이 시스템은 고객센터에서 영상 상담을 지원하는 핵심 인프라로, 고객 데이터와 통신 기록이 저장된다. 해킹이 사실이라면 개인정보 유출이나 시스템 침투로 이어질 수 있는 중대한 사안이다.

KT는 통보 직후 자체 조사를 진행, 7월 21일 “침해사고 흔적 없음”이라고 KISA에 보고했다. 그러나 IT 보안 전문가들은 “로그 분석이나 포렌식 없이 성급히 결론을 내렸다”고 비판한다. 해킹 흔적을 확인하려면 서버 메모리 덤프와 액세스 로그를 정밀 분석해야 하지만, KT는 이를 생략한 것으로 보인다는 것.

7월 2일자로 8월 목표 decomm을 추진한다는 내용이 명시돼 있다. 자료=최민희 의원실
 

석연찮은 서버 폐기…최민희 “증거인멸 의심”

KISA의 해킹 통보 이후 KT가 원격상담시스템의 구형 서버(구축형 솔루션)를 폐기하면서 논란은 한층 증폭됐다.

앞서 KISA가 과방위원장실에 제출한 자료에 따르면, KT는 8월 21일 이후 서버를 폐기할 계획이었다. 이는 7월 2일 내부 회의에서 구독형 솔루션(신형 서버)과의 병행 운영(1~2개월)을 통해 안정성을 검증한 뒤 폐기하기로 한 결정에 따른 것이었다. 이는 시스템 전환 시 데이터 손실이나 서비스 중단을 방지하는 표준 절차라고 설명했다.

하지만, KISA의 해킹 통보(7월 19일) 직후 KT는 계획을 변경해 예정일보다 20일이나 빠른 8월 1일 서버를 조기 폐기했다. KT는 “3월 10일 시범운용으로 안정성을 검증했고, 비용 효율성을 고려해 병행 운영이 불필요했다”고 해명했지만, 이는 앞서 7월 2일 진행된 회의 기록과 상충된다. 최소 8월 21일까지 병행 운영 후 폐기했어야 한다는 점에서 의도적 증거인멸 의혹이 제기됐다.

문제는 서버가 가상 서버(VM)로, 폐기 시 복구나 포렌식이 불가능하다는 점이다. KISA가 8월 12일 관련 자료를 요청했을 때 KT는 “서버 폐기로 제출 불가”라고 답했다. 

KT 서버 폐기 관련 타임라인. 자료=최민희의원실
 

최민희 위원장은 “KT는 KISA로부터 해킹 의혹 통보를 받은 후, 원래 계획을 변경한 뒤 해킹이 이뤄졌을 가능성이 있는 원격상담시스템 서버를 폐기한 것으로 확인됐다”며, “KT는 계획에 따라 서버를 폐기했다고 주장하지만, 정부기관의 해킹 의혹 통보를 받은 뒤 문제의 서버를 폐기한 것은 그 의도를 의심하지 않을 수 없다”고 비판했다.

이어 최 위원장은 “KT가 의도적으로 서버를 폐기했다는 의혹이 한층 더 짙어졌고, 진상조사를 위해 민관합동조사단을 구성해 낱낱이 파헤칠 필요성이 더 커졌다”며 “과기부는 해킹뿐만 아니라 KT의 증거인멸 의혹에 대해서도 철저하게 사실관계를 밝혀야된다”고 지적했다.

보안업계에서도 “해킹 의혹이 불거지면 서버를 동결하고, 백업을 진행하는 건 기본적 프로세스인데, KT가 이를 위반한 것은 이해하기 어렵다”는 지적이 나오고 있다.

이에 대해 KT 측은 “올해 초부터  파일럿 성격의 구축형-구독형 병행운영을 시작했는데, 운용 성과가 우수하고 원활한 고객 서비스 제공이 가능한 것으로 나타나 신속 전환을 추진한 것이 맞다”면서 “서버를 폐기한 것도 아니고, 가상 서버에 있던 정보를 클라우드로 올렸을 뿐이라 보면 된다”고 해명했다.

‘오비이락’? KT 이용자들, 실제 피해 발생

이런 가운데, 경기도 광명시에서 잇따라 발생한 소액결제 피해가 모두 KT 이용자였다는 사실이 밝혀지며, KT 해킹 의혹은 일파만파 확산 중이다.

광명경찰서에 따르면, 8월 27일부터 31일까지 새벽 시간대 KT 이용자 26명이 모바일 상품권 구매, 교통카드 충전 등 명목으로 총 1769만 원의 피해를 입었다고 신고했다.

경기 광명경찰서. 사진=연합뉴스
 

피해자들은 모두 광명시 소하동 거주자이며, 일부는 같은 아파트 단지에 거주한다. 한 피해자는 온라인 커뮤니티에서 “상품권 구매 사이트의 인증 문자 없이 새벽에 한도 상향 후 결제가 이뤄졌다”며 150만원 이상의 피해를 호소했다.

광명경찰서는 해킹 범죄 가능성에 무게를 두고 사건을 경기남부경찰청으로 이첩했다. 경찰 관계자는 “아직 해킹으로 단정할 수 없으며, 추가 수사가 필요하다”고 밝혔다.

KISA는 “스미싱에 의한 악성 앱 감염 등 다양한 가능성을 검토 중”이라고 전했다. 그러나 피해자들이 모두 KT 이용자라는 점, 특정 지역(소하동)에 집중됐다는 점에서 원격상담시스템 해킹과 연관있을 가능성이 제기됐다.

이에 KT 측은 “경찰에서 수사 중인 건으로, 수사에 적극 협조하고 있다면서, “앞서 논란이 된 원격상담시스템 구형 서버는 유선 시스템과 관련있고, 이번 사안은 무선망과 관련있는 부분이라 둘 사이의 연관성은 없는 것으로 안다”고 해명했다.

현금 1억 7000만 원 탈취 피해자도 KT 이용자?

이뿐만이 아니다. 현금 1억 7000만 원을 탈취당했다고 주장하는 피해자도 등장했다. 인터넷 방송인이자 벅스코인 재단 창립자인 A씨는 지난 4월 자신의 명의로 LG유플러스 신규 가입 안내 문자를 수신한 직후 네이버와 카카오톡 계정이 해킹당했으며, 이어 국민은행 계좌에 보관 중이던 현금 1억 7000만 원을 탈취당했다고 유튜브 방송을 통해 밝혔다.

A씨는 방송에서 “담당 수사관이 해당 피해가 최근 발생한 BTS 정국, 대기업 총수 등 해킹 혐의자들과 관련된 피해라고 확인해줬다”고 말했다.

벅스코인 창립자인 유튜버 A씨. 사진=유튜브
 

문제는 A씨가 당시 KT만 이용 중이었다는 점이다. A씨는 해커가 KT를 해킹해 자신의 개인정보를 탈취한 후, LG유플러스에서 신규 휴대폰을 개통해 범행에 활용한 것으로 추정했다.

하지만, 해당 사안에 대해 KT 측은 “저희도 내부적으로 확인을 했는데, (A씨 관련해) 별다른 특이사항이 없는 것으로 확인됐다”고 해명했다.

< 문화경제 황수오 기자 >