넉 달간 조사에도…'로그·통신' 기록 제한에 KT 조사 '한계'

통신 기록도 1년 남짓 불과…서버 탈취 정황도 '미궁'

(서울=연합인포맥스) 최정우 기자 = 과학기술정보통신부 민관합동조사단이 발표한 'KT 침해사고 최종 조사 결과'는 단순한 해킹 사고의 결과 보고를 넘어 국내 통신 보안 체계의 총체적 난맥상을 드러냈다.

정부는 KT 측의 과실을 인정하며 '전 고객 대상 위약금 면제'를 요구하는 강경책을 꺼냈지만, 정작 소액결제에 필요한 개인정보가 유출된 경위는 규명하지 못했다. 지난 9월 9일부터 약 넉 달간 조사가 진행됐지만, 1~2개월에 그친 KT의 로그 기록 보관 기간에 정확한 유출 경로를 파악하는 데 한계가 있었다.

서버 로그 기록과는 별개로, 이번 조사가 지난해 8월부터 올해 9월까지 약 1년간의 통신 접속 기록을 대상으로 했다는 점도 KT 이용자들의 불안을 완전히 해소하기에 충분하지 못했다는 지적이 나왔다.

◇ 로그 기록 부재…정확한 '서버 탈취' 경위 특정 못 해

30일 업계에 따르면 과기정통부와 민관합동조사단은 전일 KT 무단 소액결제 사태가 불법 펨토셀로 인한 침해 사고에서 비롯됐으며 총 368명의 고객이 2억4천319만원의 피해를 입었다고 최종 발표했다. 또한 서버가 BPF도어 등 악성코드에 감염돼 2만2천227명의 가입자 식별번호(IMSI)와 단말기 식별번호(IMEI), 전화번호가 유출된 것으로 확정했다.

다만, 실제 소액결제에 필요한 이름과 전화번호 등 개인정보가 탈취된 정확한 경위에 대해서는 파악하지 못했다.

KT의 서버 내부의 파일 접근 및 실행, 오류 등 동작을 기록하는 시스템 로그 보관 기간이 1~2개월에 불과했기 때문이다.

더불어 방화벽 등 보안 장비가 따로 설치되어 있지 않아 로그 기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것은 사실상 불가능했다.

조사단은 해킹그룹이 지난 2022년 4월부터 지난해 4월까지 인터넷 연결 접점이 있는 서버의 파일 업로드 취약점을 악용해 웹셸 및 BPF도어 악성코드를 업로드한 것으로 보고 있다.

지난 2023년 3월부터 올해 7월까지 감염된 루트킷과 백도어 등의 악성코드에 대해서도 감지했지만, 감염 시점 당시 방화벽과 시스템 로그 등 기록이 남아있지 않아 공격자의 침투 방법을 판단하는 것이 불가능한 상태다.

조사단은 "일부 감염 서버에 이름과 전화번호, 이메일 등 개인정보가 저장돼 있으나, 정밀 분석 결과 로그 기록이 남은 기간에는 유출 정황이 없는 것을 확인했다"고 설명했다.

과기정통부는 KT에 정보보호 활동 강화와 정보보호최고책임자(CISO)가 전사 정보보호 정책을 관리할 수 있도록 하는 거버넌스 체계 재편만을 당부했다.

◇ 조사 대상도 '1년 남짓' 기록…"기록 없으면 책임 없다" 관행 끊어야

서버 로그 기록과 별개로, 이번 정부의 조사 대상이 된 이용자 정보는 지난해 8월 1일부터 올해 9월 10일까지로 1년간 이뤄진 기지국 접속 기록에 국한됐다.

통신비밀보호법상 가입자 정보 등 통신 기록 저장 기한을 1년으로 규정하고 있기 때문이다.

조사단은 최종 조사결과 발표에서 "접속 기록이 보관되지 않은 지난해 8월 이전의 유출 규모는 기술적으로 확인할 방법이 없었다"고 불완전한 조사 결과를 시인하기도 했다.

정부가 집계한 소액결제 피해액 2억4천만원은 1년 기록만을 대상으로 집계한 수치다. 기록이 없는 기간의 피해를 고려하면 실제 피해는 수십 배에 달할 수 있지만, 보상안은 현재 드러난 수치에만 매몰돼있다.

이에 통신사가 통신 접속 기록을 짧게 보유할수록 사고 책임을 회피하기 쉬워지는 구조적 모순을 보여줬다는 평가가 나왔다.

이를 해결하기 위해서는 통신사가 최소 2년 이상의 보안 로그를 의무적으로 보관하도록 강제하고, 접속 기록도 확대시키는 방안이 필요하다는 의견도 있었다.

또한 기업의 '셀프 점검'에 의존하지 않고, 상시로 통신망을 모니터링할 수 있는 독립적인 국가 보안 감시 체계가 필요하다는 목소리도 나오는 상황이다.

배경훈 부총리 겸 과기정통부 장관은 "통신사들의 해킹 사태는 국가 핵심 기간통신망에 보안 허점이 드러난 엄중한 사안"이라면서 "기업들은 국민이 신뢰할 수 있는 안전한 서비스 환경을 만드는 것이 생존의 필수 조건임을 인식하고 정보보호를 경영의 핵심가치로 삼아야 한다"고 강조한 바 있다.

jwchoi2@yna.co.kr