정부 "KT가 해킹 숨기려고 백신 돌린 흔적 발견"

KT가 지난해 일어난 악성코드 침해사고를 은폐한 게 밝혀진 가운데, 민간합동조사단이 악성코드를 지운 흔적을 찾아 이를 추궁해 관련 사실을 확인한 것으로 나타났다. 조사단장을 맡고 있는 최우혁 과학기술정보통신부 네트워크정책실장은 6일 브리핑에서 “포렌식을 하면서 BPFDoor를 발견한 것이 아니라 이미 지워져 있었고, BPFDoor를 검출하는 스크립트를, 즉 (악성코드 삭제를 위해) 백신을 돌린 흔적을 발견했다”고 밝혔다. 이어, “백신을 돌린 흔적을 발견해 무슨 상황이냐고 물어보니 당시의 상황이 확인된 것”이라고 설명했다. 최우혁 실장은 또 악성코드 삭제 흔적을 발견한 서버를 묻는 질문에 “펨토셀 관련 서버였다”고 답했다. 조사단에 따르면 KT는 2024년 3월부터 2024년 7월까지 BPFDoor, 웹셸 등 악성코드에 감염된 거버 43대를 발견하고 이를 정부에 신고하지 않고 자체적으로 조치했다. 올해 상반기 SK텔레콤 침해사고 조사가 이뤄지면서 정부는 통신 3사 등에 같은 악성코드가 있는지 조사에 나섰다. 당시 KT 서버에서는 악성코드가 발견되지 않았는데, 이미 KT가 자체적으로 악성코드를 삭제한 서버로 검증했다는 게 정부 조사단의 설명이다. 43개 서버 외에서도 악성코드가 발견될 가능성도 열려있는 상황이다. 최우혁 실장은 “SK텔레콤의 경우에도 문제가 된 서버를 조사하면서 들여다보니 연계된 서버를 발견하면서 (악성코드에 감염된 서버가) 확대된 사항이 있었다”며 “조사단의 요청에 KT가 32대에 대한 자료를 보고했는데, 포렌식 조사를 하다가 보면 더 확대될 수도 있다”고 말했다. 그러면서 “BPFDoor에 감염된 서버가 43대 발견됐기 때문에 전체 포렌식 조사에 나서는데 상당한 시간이 걸릴 것”이라며 “(최종 조사 결과 발표) 시간을 특정하긴 어렵지만, 모든 리소스를 투입해 최대한 빨리 분석할 수 있도록 노력하겠다”고 강조했다. 한편, KT가 5일부터 무상으로 유심을 교체 제공키로 한 점을 두고 정부의 권고는 아니라고 했다. 최 실장은 “SK텔레콤도 그렇고 KT도 유심 교체에 대해서는 각 회사가 판단하는 영역”이라고 했다.