최수진 "KT, 해킹침해 사실 인지하고도 3일 뒤 늑장 신고"

[포쓰저널=장성열 기자] KT가  15일 해킹 침해사고를 인지하고도 3일이 지난 18일 한국인터넷진흥원(KISA)에 신고한 것으로 드러났다. 

19일 국회 과학기술정보방송통신위 소속 국민의힘 최수진 의원은 "KISA로부터 입수한 KT 침해사고 신고 접수자료에 따르면, KT가 9월 15일 14시에 침해사고를 인지했지만 3일 뒤인 18일 23시 57분에 신고를 접수했다"고 밝혔다.

최 의원은 "KT가 사고를 인지했음에도 불구하고 현행 정보통신망법을 위반해 3일이나 늦게 뒤늦게 신고 접수하면서, 과기부와 KISA 측의 대응도 제대로 이뤄지지 않았다"고 밝혔다.

이어 "KT가 소액결제 소비자 피해사고에 늑장대응한데 이어, 서버에 대한 해킹 침해사실을 알고도 뒤늦게 신고하는 등 총체적인 부실대응으로 국민적인 피해가 커지고 있다"고 지적했다.

현행 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’(정보통신법)에서는 24시간 내 신고 의무를 지키지 않을경우 최대 3000만원의 과태료를 부과하도록 하고 있다.

앞서 SK텔레콤 역시 지난 4월 해킹 피해 발생 당시 신고 기한을 넘겨 KISA에 신고를 접수해 늑장 신고 비판에 휘말린 바 있다.

KT의 신고한 침해사고 내용을 살펴보면 4건의 침해 흔적 발견과 2건의 침해 의심 정황을 보고했다.

구체적으로 ▲윈도우 서버 침투 후 측면 이동 시도 ▲Smominru 봇내 감염 ▲VBScript 기반 원격코드 실행 및 민감정보 탈취 ▲Metasploit 을 통한 SMB 인증 시도 및 측면 이동 성공을 적시했다.

의심 정황으로는 ▲리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 ▲Rsupport 서버 의심 계정 생성 및 비밀키 유출 등 2건을 보고했다.

최 의원은 “현행 정보통신망법에 따르면 침해 사실을 인지한 경우 24시간 이내에 신속하게 신고하도록 하고 있지만, SKT에 이어 KT도 늑장 신고로 피해를 키웠다”며 “KT 가 소액결제 피해에 이어 해킹을 당하고도 제대로 된 대응을 하지 않아 국민적 피해가 커지고 있는 만큼, 국회에서 철저히 따지겠다”고 밝혔다.

KT는 이와 관련해 “15일 외부 보안전문 기업에 의뢰한 점검 결과 보고서를 수령했으며, 관련 부서의 내부 검증 절차를 통해 사실 관계 여부를 확인하여 18일 신고를 완료했다”고 밝혔다.