KT 해킹침해 사실 인지하고도 3일뒤 늑장 신고, 정보통신법 위반

서버 침투 당하고 원격 코드 통한 민감정보 탈취 등 해킹당해소액결제 피해에 이어 해킹대응도 늦어, 국민적 피해 확산

KT가 지난 9월 15일 해킹 침해사고를 인지하고도 3일이 지난 9월 18일 한국인터넷진흥원(KISA)에 신고한 것으로 밝혀져, 24시간 이내 신고하도록

한 정보통신망법을 위반(과태료 3천만원)한 것으로 밝혀졌다.

KT가 소액결제 소비자 피해사고에 늑장대응한데 이어, 서버에 대한 해킹 침해사실을 알고도 뒤늦게 신고하는 등 총체적인 부실대응으로 국민적인 피해가 커지고 있다.

최수진의원(사진)이 한국인터넷진흥원(KISA)로부터 입수한 KT 침해사고 신고접수자료에 따르면, KT가 지난 9월 15일 14시에 침해사고를 인지했지만 3일 뒤인 9월 18일 23시 57분에 신고접수했다.

현행 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서는 24시간 내 신고 의무를 지키지 않을 경우 최대 3천만원의 과태료를 부과하도록 하고 있다.

KT가 사고를 인지했음에도 불구하고 현행 정보통신망법을 위반해 3일이나 늦게 뒤늦게 신고접수하면서, 과기부와 KISA측의 대응도 제대로 이뤄지지 않았다.

앞서 SK텔레콤 역시 지난 4월 해킹 피해 발생 당시 신고 기한을 넘겨 KISA에 신고를 접수해 늑장 신고 비판에 휘말린 바 있다.

KT의 신고한 침해사고 내용을 살펴보면 4건의 침해흔적 발견과 2건의 침해의심 정황을 보고했다. 구체적으로 살펴보면 ▲ 윈도우 서버 침투 후 측면 이동 시도 ▲ Smominru 봇내 감염 ▲ VBScript 기반 원격코드 실행 및 민감정보 탈취 ▲ Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공을 적시했다.

의심 정황으로는 ▲ 리눅스 sync 계정 조작 및 SSH 퍼블릭키 생성 ▲ Rsupport 서버 의심 계정 생성 및 비밀키 유출 등 2건을 보고했다.

최수진의원은 “현행 정보통신망법에 따르면 침해사실을 인지한 경우 24시간 이내에 신속하게 신고하도록 하고 있지만, SKT에 이어 KT도 늑장신고로 피해를 키웠다”고 지적했다.

최 의원은 “KT가 소액결제 피해에 이어 해킹을 당하고도 제대로 된 대응을 하지 않아 국민적 피해가 커지고 있는만큼, 국회에서 철저히 따지겠다”고 밝혔다.