[서울이코노미뉴스 박희만 기자] KT가 개인정보가 저장된 서버가 악성코드 ‘BPF 도어(BPF Door)’에 감염된 사실을 인지하고도 관계기관에 ‘개인정보 유출’ 신고를 하지 않은 것으로 드러났다.
KT는 개인정보 유출정황이 확인되지 않았다는 입장이지만, 동일계열 악성코드로 수천만명의 정보가 빠져나간 SK텔레콤 사례를 감안하면 유출 가능성을 배제하기 어렵다는 지적이다.
7일 정부와 업계에 따르면 KT 해킹사고를 조사중인 민·관 합동조사단은 전날 KT가 지난해 3월부터 7월사이 악성코드 ‘BPF 도어’와 ‘웹셸(Webshell)’ 등에 감염된 서버 43대를 자체 확인하고도 이를 관계기관에 신고하지 않았다고 밝혔다.
조사단에 따르면 해당 서버에는 고객의 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 주요 개인정보가 저장돼 있었다.
‘BPF 도어’는 올해 초 SK텔레콤 해킹사태에도 사용된 악성코드로다. 서버 내부에 장기간 잠복해 탐지를 회피하는 은폐형 공격수단으로 알려져 있다.
그럼에도 불구하고 KT는 개인정보 유출징후가 확인되지 않았다는 이유로, 아직까지 개인정보보호위원회(개인정보위)에 유출 신고를 하지 않았다.
현행 개인정보보호법 시행령에 따르면, 개인정보처리자는 1000명 이상의 개인정보 또는 민감정보가 유출된 사실을 인지할 경우 72시간 이내에 개인정보위에 신고해야 한다.
KT 관계자는 “민·관 합동조사단 역시 개인정보 유출이 확인된 내용은 없다고 발표했다”며 “KT 또한 동일한 입장으로, 유출정황이 없어 신고하지 않았다”고 설명했다.
하지만 업계에서는 “BPF 도어가 사용된 SK텔레콤 사례를 고려하면 KT의 개인정보가 외부로 유출됐을 가능성을 완전히 배제하기 어렵다”는 의견이 제기된다.
앞서 SK텔레콤은 해킹으로 LTE·5G 전체 이용자 2324만4649명(알뜰폰 포함, 중복 제외)의 개인정보가 유출된 것으로 확인됐다.
당시 SK텔레콤 서버에서는 BPF 도어 계열 27종을 비롯해 타이니셸 3종, 웹셸, 크로스 C2, 슬리버 등 총 33종의 악성코드가 발견됐다.
이에 개인정보위는 개인정보보호법 위반 책임을 물어 SK텔레콤에 역대 최대 규모인 과징금 1347억9100만원과 과태료 960만원을 부과했다.
개인정보위는 이번 KT 악성코드 감염건에 대해서도 개인정보 유출 여부와 신고지연 가능성 등을 함께 조사할 방침이다.
개인정보위 관계자는 “현재 불법 팸토셀(초소형 기지국)을 이용한 무단 소액결제 사건과 관련해 KT를 조사중이며, 조사관이 현장에 파견돼 있다”며 “BPF 도어 감염으로 인한 개인정보 유출여부도 당연히 포함해 조사할 예정”이라고 밝혔다.
이어 “KT의 신고 여부와 상관없이 인지조사가 가능하며, 과학기술정보통신부로부터 민·관 합동조사단의 조사결과를 모두 공유받았다”고 덧붙였다.
한편 KT는 지난 5일부터 유심(USIM) 교체를 희망하는 전 고객을 대상으로 무상교체를 진행 중이다.
우선 무단 소액결제 피해가 집중된 광명·금천 지역을 대상으로 교체를 시작했으며, 오는 19일부터는 수도권과 강원전역으로 확대한다.
다음 달 3일부터는 전국 단위로 유심 교체접수를 받을 예정이다.
KT망을 이용하는 알뜰폰(MVNO) 이용자들도 무상교체 대상에 포함되며, 구체적인 일정과 절차는 각 알뜰폰 사업자를 통해 별도로 안내될 예정이다.