경찰, KT 판교·방배 사옥 압수수색… 해킹 서버 고의 폐기·은닉 혐의
경찰이 KT의 서버 해킹 사고와 관련한 허위 보고 및 고의 은폐 의혹에 대해 강제수사에 나섰다. 지난달 2일 과학기술정보통신부가 수사를 의뢰한 지 48일 만이다.
경기남부경찰청 반부패경제범죄수사대는 19일 오전 경기 성남 KT판교빌딩과 서울 방배 KT DS사옥 등 3곳에 수사관 20여명을 보내 위계공무집행방해 혐의 등 압수수색영장을 집행했다. 압수수색 대상지인 KT판교빌딩엔 정보보안실이 있으며, KT DS 사옥은 고의 폐기 의혹이 불거진 원격상담시스템 서버가 구축돼있던 곳이다.
앞서 과기부는 지난달 2일 폐기된 서버의 백업 로그가 존재하는데도 민관 합동조사단에 보고하지 않았고, 허위 자료 제출과 증거 은닉이 의심된다며 KT를 경찰에 수사 의뢰했다. 입건 전 내사에 착수한 경찰은 강제수사에 앞서 정보보안실 총괄인 황태선 KT 정보보안실장을 피의자로 입건한 것으로 알려졌다.
KT는 지난 7월 19일 한국인터넷진흥원(KISA)으로부터 원격상담시스템 인증서가 해킹으로 유출됐다는 통보를 받고 이를 부인하면서 해킹이 이뤄졌을 가능성이 있는 시스템 서버를 폐기 일정을 앞당겨 고의로 폐기했다는 의혹을 받고 있다.
과기부 등에 따르면 KT는 KISA로부터 의심 통보를 받은 지 이틀 뒤인 7월 21일 ‘침해사고 흔적 없음’이라고 보고했다. KT가 원격상담시스템 서버 의심 정황을 보고 이튿날 최초 인지했는데도 신고하지 않은 사실도 두 달 뒤인 지난 9월 국회 청문회에서 드러났다.
KT는 해킹 의혹을 전면 부인해오다 9월 18일에야 “해킹 침해 흔적 4건과 정황 2건이 발견됐다”고 KISA에 신고했다. 그 사이 해킹이 의심됐던 구형 서버는 당초 8월 21일 이후 폐기 계획이었으나 20일 앞당겨 8월 초 폐기했다.
경찰은 애초 구형 서버를 폐기했다고 보고한 사실도 허위였던 것으로 보고 있다. 서버 폐기를 하지 않았는데도 KISA에 서버 폐기 보고를 하고 1일 2대, 6일 4대, 13일 2대 등 세 차례에 걸쳐 총 8대 폐기 작업을 진행했다는 것이다. 게다가 폐기한 서버의 백업 로그가 존재했으나 9월 18일 신고 전까지 과기부 주도의 민관 합동 조사단에 보고하지 않은 것으로 조사됐다.
앞서 미국 보안전문매체 프랙(phrack)은 지난 8월 8일 화이트해커로부터 제보를 받았다며 국가 배후 해킹 조직에 의해 KT 등 국내 통신사와 정부 기관이 공격당했다는 내용의 보고서를 공개했다. 이 보고서엔 KT 원격상담시스템에 사용된 인증서 등이 북한 해커 그룹으로 알려진 ‘김수키’ 서버에서 발견됐다는 해킹 의심 정황이 담겼다.
KT는 또 9월 8일 일부 KT 이용자들이 무단 소액결제 피해를 당하자 KISA에 내부망 침해 의심 신고를 했다. 소액결제 피해자의 통화 이력을 분석한 결과 등록되지 않은 불법 기기가 내부망에 접속한 사실을 확인하면서다.
과기부는 신고 이튿날인 같은 달 9일 민관 합동조사단을 구성했다. 통신 침해 사고로 금전 피해가 발생했고, 공격 방식에 대한 면밀한 분석이 필요하다는 판단에서다. 이후 조사단은 지난 6일 “KT가 서버 폐기 시점을 당국에 허위 제출하고 조사단에 보고를 누락했다”며 “정부 조사를 방해하려는 고의성이 있다고 보고 수사의뢰했다”고 중간조사 결과를 발표했다.
손성배([email protected])