|
|
(서울=연합뉴스) 차민지 기자 = 개인정보가 포함된 KT 서버가 악성코드 'BPF도어'(BPFDoor)에 감염된 사실이 뒤늦게 드러났지만 KT는 '개인정보 유출' 신고를 하지 않은 것으로 확인됐다.
7일 정부에 따르면 KT 해킹 사고를 조사 중인 민·관 합동조사단은 전날 KT가 지난해 3∼7월 사이 BPF도어와 웹셸(Webshell) 등 악성코드에 감염된 서버 43대를 자체 확인하고도 관계기관에 신고하지 않았다고 발표했다.
조사단에 따르면 해당 서버에는 성명, 전화번호, 이메일 주소, 단말기식별번호(IMEI) 등 가입자 개인정보가 저장돼 있었다.
BPF도어는 올해 초 SKT 해킹 사태에서도 사용된 악성코드로, 서버 내부에 장기간 잠복하며 탐지를 피하는 은폐형 공격 수단으로 알려져 있다.
하지만 KT는 현재까지 개인정보 유출 신고를 하지 않은 것으로 파악됐다. 개인정보 유출 정황이 발견되지 않았다는 이유에서다.
현행 개인정보보호법 시행령은 개인정보처리자가 1천 명 이상의 개인정보 또는 민감정보가 유출된 사실을 알게 되면 72시간 이내에 개인정보보호위원회에 신고하도록 규정하고 있다.
KT 관계자는 "민관합동조사단도 개인정보 유출이 확인된 내용은 없다고 발표했다"며 "KT의 입장도 같다. 개인정보 유출 정황이 보이지 않아 신고하지 않은 것"이라고 밝혔다.
업계에서는 SKT 사례를 감안할 때 KT의 개인정보가 외부로 유출됐을 가능성을 완전히 배제하기 어렵다는 지적이 나온다.
앞서 SKT는 해킹으로 LTE·5G 전체 이용자 2천324만4천649명(알뜰폰 포함·중복 제외)의 개인정보가 유출된 것으로 확인됐다.
SKT 서버에서는 BPF도어 계열 27종을 포함해 타이니셸 3종, 웹셸, 오픈소스 악성코드 크로스C2, 슬리버 등 총 33종의 악성코드가 발견됐다.
이에 개인정보위는 개인정보보호법 위반 책임을 물어 SKT에 역대 최대인 과징금 1천347억9천100만원과 과태료 960만원을 각각 부과했다.
개인정보위는 KT의 악성코드 감염 건에 대해 개인정보 유출 여부와 지연 신고 가능성 등을 함께 살펴볼 계획이다.
개인정보위 관계자는 "이미 불법 초소형 기지국(팸토셀)을 활용한 무단 소액결제 사건과 관련해 KT를 조사 중이며, 조사관들이 현장에 나가 있다"며 "BPF도어 감염으로 인한 개인정보 유출 여부 역시 당연히 포함해 조사할 것"이라고 밝혔다.
이어 "KT의 신고가 없더라도 인지 조사가 가능하다"며 "과학기술정보통신부로부터 민·관 합동조사단의 조사 내용도 모두 공유받았다"고 덧붙였다.
chacha@yna.co.kr
<연합뉴스>
