해킹 의혹과 관련됐던 KT의 서버 중 하나가 폐기 후에도 로그(접속·사용)기록이 별도 저장돼 있다는 사실이 확인됐다.

22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 이달 15일 폐기된 서버의 로그가 백업돼있음을 확인하고 18일 임원회의를 거쳐 같은 날 저녁 이를 합동조사단에 공유했다.

KT는 앞서 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그도 백업된 사실을 뒤늦게 파악한 것으로 알려졌다.

앞서 지난달 미국 보안전문 매체 ‘프랙’은 중국 배후로 추정되는 해킹 조직이 정부 기관을 비롯한 KT와 LG유플러스를 해킹했다는 의혹을 제기했다. KT는 한국인터넷진흥원(KISA)으로부터 해당 내용을 전달받고 원격상담시스템 구형 서버를 당초 계획보다 앞당겨 폐기했다는 의혹을 받았다.

KT 설명에 따르면 KISA는 7월 19일 KT의 고객 원격 점검용 사이트 ‘rc.kt.co.kr’의 인증서 등 탈취 정황을 전달했고 프랙도 같은 의혹을 보도했다.

이에 과기정통부는 KT에 자체 조사 결과 자료를 제출할 것을 요청했는데 KT는 같은 달 13일 침해 의혹이 없다는 조사 결과를 발송하면서 군포·구로·광화문 고객센터 구형 서버를 당초 예정보다 빠른 1일 서비스 종료했다고 밝혀 논란이 됐다.

KT는 최근 국회 보고에서 7월 조사 당시 (정보) 유출 정황이 발견되지 않았지만, 사내 조직인 정보보안실의 보안 우려 및 요청에 따라 8월 한 달 기존 구축형 서버와 신규 구독형 서버의 병행 운영 기간을 단축해 기존 구축형 서버를 종료한 것이라고 해명했다.

그러나 군포·구로 서버가 무단 소액결제 피해가 잇따라 벌어진 서울 금천구·경기 광명시 등과 지리적으로 가깝다는 점은 두 사건의 연관성에 대한 의혹을 부채질했다.

KT가 지난달까지 국회에 구축형 서버 운영을 8월 1일 종료했다고 보고했지만, 이후에도 일부 운영하다 같은 달 13일 최종 폐기한 것으로 최근 드러나면서 허위 보고 의혹도 함께 제기됐다.

KT내부에서는 서버가 폐기 프로세스에 들어간 상태를 놓고 사내 소통이 불분명했던 것 아니냐는 반응도 나온다.

박 의원은 “KISA가 해킹 정황 정보를 KT에 통보했을 당시 무엇보다도 문제가 된 서버를 보존해 조사에 대비하는 것이 최우선이었음에도 이를 폐기한 것은 중대한 관리 부실”이라며 의혹 규명을 강조했다.

KT 관계자는 “민관 합동 조사단의 조사에 성실히 임하고 추가 사실이 확인되는 대로 설명할 것”이라고 밝혔다.

이재걸 기자 claritas@naeil.com