경제타임스 김은국 기자 |  KT가 지난해 발생한 ‘무단 소액결제’ 사고 당시 악성코드 감염 사실을 정부에 신고하지 않고 자체 조치한 정황이 드러났다.

정부는 이를 단순한 관리 부실이 아닌 의도적 은폐 행위로 판단, 형법상 ‘위계에 의한 공무집행방해’ 혐의로 수사기관에 수사를 의뢰하기로 했다. 이번 사안은 단순 해킹 사고를 넘어, 국가 기간통신사업자의 보안 거버넌스와 투명성에 대한 신뢰를 흔들 수 있는 중대 이슈로 평가된다.

11월6일 공개된 KT 침해사고 민관합동조사단의 중간조사 결과에 따르면, KT는 지난해 3~7월 사이 ‘BPF 도어(Door)’ 및 ‘웹셸(WebShell)’ 등 악성코드에 감염된 서버 43대를 발견했음에도 이를 정부에 신고하지 않고 자체 대응에 그쳤다.

문제의 서버에는 이용자 성명·전화번호·이메일·IMEI(단말기식별번호) 등 민감한 개인정보가 저장돼 있었던 것으로 조사됐다. 정보통신망법에 따르면 이런 행위는 최대 3천만원 이하의 과태료 부과 대상이다.

조사단은 또 KT가 국제 보안업체 ‘프랙(Frack)’이 공개한 보고서에 언급된 인증서 유출 정황과 관련해, “8월 1일 서버 폐기 완료”라고 KISA에 보고했지만, 실제로는 8월 1일·6일·13일 순차 폐기한 것으로 확인했다. 게다가 폐기 서버의 백업 로그가 존재함에도 이를 9월 18일까지 미보고, 조사단은 이를 “고의적 은폐 시도”로 판단했다. 지난달 2일, 조사단은 수사기관에 정식 수사 요청을 제출했다.

과기정통부는 이번 사안에 대해 “KT의 관리 부실뿐 아니라 조사 방해 정황이 포착된 만큼, 법과 원칙에 따라 엄정 조치하겠다”고 밝혔다. 정부는 앞으로 △펨토셀 장비 관리 부실 △악성코드 감염 은폐 △허위 보고 등 정황을 종합해, KT 이용약관상 위약금 면제 사유에 해당하는지 검토 중이다. 현재 경찰은 무단 소액결제 피의자에게서 압수한 불법 장비를 분석 중이며, 개인정보보호위원회는 결제 관련 개인정보 유출 경로를 조사하고 있다.

이번 사건은 KT의 보안 거버넌스와 내부 통제 체계의 구조적 허점을 드러낸 사례로, 단순 사고 은폐를 넘어 통신 대기업의 책임성 문제로 비화할 가능성이 크다. 특히 정부 조사 단계에서의 허위 보고 및 은폐 정황이 드러나면서, 통신사 전반에 걸친 ‘사고 신고 의무 이행’ 제도 개선 논의로 이어질 전망이다.