KT 해킹 의혹과 관련해 이미 폐기된 서버의 로그 기록이 별도로 백업된 사실이 확인됐다. KT가 최근 국회에 제출한 자료에 따르면 KT는 이달 15일 폐기된 원격상담시스템 구형 서버의 로그가 백업되어 있음을 확인하고 이를 18일 저녁 합동조사단에 공유했다. 앞서 KT는 같은날 13시에 개인정보보호위원회에 2차로 개인정보 유출을 신고했다.

연합뉴스에 따르면 KT는 지난 11일에 5561명의 가입자식별번호(IMSI) 유출 정황을 확인하고 1차 신고를 했다. 이를 포함해 현재까지 알뜰폰을 포함한 전체 KT 통신망 이용자 2만 30명(누적)의 가입자식별번호(IMSI), 기기식별번호(IMEI), 휴대폰 번호의 유출 정황을 확인했다고 2차 신고했다고 밝혔다.

개인정보위는 이달 10일 조사에 착수해 구체적인 유출 경위 및 피해규모, 안전조치 의무 준수 여부 등을 확인 중이며, 추가 신고 내용을 포함해 법 위반이 발견되면 관련 법령에 따라 처분할 예정이다.

KT는 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹은 서버가 폐기돼 조사하기 어렵다는 입장이었다. 하지만 최근 관련 기록이 보관된 사실이 확인돼 분석할 수 있을 것으로 보인다.

그 이전에 KT는 중국 배후로 추정되는 해킹 조직이 정부기관을 비롯한 KT와 LG유플러스를 해킹했다는 의혹과 관련, 한국인터넷진흥원(KISA)으로부터 해당 내용을 전달받고 원격상담시스템 구형 서버를 당초 계획보다 앞당겨 폐기했다는 의혹을 받았다.

KT 설명에 따르면 KISA는 7월 19일 KT의 고객 원격 점검용 사이트의 인증서 등 탈취 정황을 전달했고 지난달 8일 미국 보안 전문지 프랙도 같은 의혹을 보도했다. 의혹이 불거지자 과학기술정보통신부는 KT에 자체 조사 결과 자료를 제출할 것을 요청했다.

지난달 13일 KT는 침해 의혹이 없다는 조사 결과를 발송하며 군포·구로·광화문(수어용) 고객센터 구형 서버를 예정보다 빠른 9월 1일 서비스 종료했다고 밝혔다. 이에 국회에서는 KT가 7월 KISA의 정보 탈취 정황을 전달받은 뒤 서버 종료를 서두른 것은 자료 폐기 의도가 아닌지 의혹이 불거졌다.

KT는 최근 국회 보고를 통해 7월에 자체적으로 내부 조사를 했을 때 정보 유출 정황을 확인하지 못했지만, 사내 조직인 정보보안실 요청에 따라 8월 한달 기존 구축형 서버와 신규 구독형 서버의 병행 운영 기간을 단축해 기존 구축형 서버를 종료했다고 설명했다.

당시 KT 정보보안실은 해당 서버에서 침해 정황이 발견되지는 않았다면서도 유출 경로가 파악되지 않은 상황에서 보안 우려를 고려해 조기 종료를 요청했다고 설명했다. 이에 통신업계 한 관계자는 “유출 경로가 파악되지 않은 위험성을 알고 서버 종료 조치에 나섰는데 문제가 없다고 하는 건 앞뒤가 맞지 않다”고 지적했다.

수어용인 광화문을 제외하면 군포·구로 서버가 무단 소액결제 피해가 잇따라 벌어진 서울 금천구·경기 광명시 등과 지리적으로 가까운 점에서 프랙 보고서가 지적한 서버 해킹과 KT의 석연찮은 서버 운영 조기 종료 조치, 무단 소액결제 사건이 연관된 것 아니냐는 의혹이 제기돼 왔다.

KT가 지난달까지 국회에 구축형 서버 운영을 8월 1일 종료했다고 보고했지만, 이후에도 일부 운영하다 같은 달 13일 최종 폐기한 것으로 최근 드러나면서 허위 보고 의혹도 함께 제기됐다. 과기정통부 정보보호네트워크정책관을 단장으로 하는 민관합동조사단 관계자는 “모든 것을 정밀하게 들여다보는 중”이라고 말했다. 이에 대해 KT 관계자는 “민관합동조사단의 조사에 성실히 임하고 추가 사실이 확인되는 대로 내용을 설명할 것”이라고 해명했다.