'KT의 고객 PC 해킹' 의혹 제보를 접하고, 놀란 점은 4년 넘게 수사가 이뤄지는 동안 단 한 차례도 의혹 보도조차 없었단 점이었습니다. 그 사이 KT 본사를 비롯해 두 차례나 경찰의 압수수색이 진행됐는데도 말이죠. 지난 20일과 25일 JTBC의 KT 해킹 의혹 관련한 연속 보도는 그래서 모두 처음 밝혀진 내용입니다.
피해 소프트 업체의 고소장. 피고소인은 성명불상자로 돼있다.
사건이 시작된 건 2020년 6월입니다. 해킹 피해를 본 업체의 고소로 경찰의 수사가 시작됐습니다. 수사를 맡은 경기남부경찰청 사이버수사대는 고소인이 함께 제출한 IP주소를 통해 해킹 공격이 이뤄진 곳을 밝혀냈습니다. 다름 아닌 KT의 분당 IDC 센터, KT의 데이터 센터였습니다.
경찰은 그해(2020년) 10월 압수수색을 진행했고, 그 결과 KT 데이터 센터 내에서 이번 사건과 관련한 악성코드의 개발과 유포·운영이 조직적으로 이뤄졌단 사실을 파악한 걸로 JTBC 취재 결과 확인됐습니다. 또 수십 대의 달하는 관련 장비를 운용한 사실도 확인했습니다. 당시 확보된 증거를 토대로 추가 수사를 이어갔고, 2년이 지난 2022년 여름, 성남에 있는 KT 본사를 다시 한번 압수수색을 했습니다. 그리고 지난해 11월 경기남부경찰청은 KT 직원과 KT 당시 협력사 직원 등 총 십여 명을 통신비밀보호법과 정보통신망법 위반 등의 혐의를 적용해 검찰(수원지방검찰청)로 송치했습니다. 그런데 반년이 지난 5월 수원지검이 다시 경찰로 보완 수사를 요구해, 다시 경찰의 수사가 진행 중인 상태입니다.
◇ 데이터(패킷) 변조와 감청…DNS 변조 의혹까지경찰은 KT가 인터넷 상에 주고받는 데이터인 '패킷'을 변조하고 감청했다고 보고 있습니다. 한마디로 KT 고객들이 웹하드 업체의 그리드 소프트웨어를 이용하는 걸 막기 위해 망을 통해 주고받는 정보를 감청(분석)하고 일부를 변조했다는 겁니다. 그 과정을 통해 KT고객 가운데 웹하드 사이트를 이용하는 개인PC들을 상대로 프로그램 장애를 일으킬 수 있는 '악성 코드' 공격을 했다는 거죠. 실제로 당시 웹하드 업체 사이트에는 고객들이 프로그램 오류를 문의하는 글이 무더기로 올라왔습니다. 모두 KT망 사용자들이었습니다. 피해 업체가 백신 프로그램 다운로드 수를 근거로 추정한 오류 발생 개인 이용자는 한 달 간 약 60만 명이었습니다. 오류는 다섯 달 동안 지속됐습니다.
한 웹하드 업체의 고객 사이트에 지난 2020년 5월 올라온 오류 신고 글
악성 코드가 심어졌다는 건 방화벽에 손상이 생긴 만큼 언제든 문제가 일어날 수도 있는 상황이라고 전문가들은 진단했습니다. '패킷 변조'와 '패킷 감청'에 대해서도 전문가들에게 의견을 물었습니다. 전문가들은 '해킹 수법으로는 일반적인 행위라고 할지라도 망 사업자가 했다면 얘기는 달라진다'고 입을 모아 진단했습니다. 망을 통해 주고받는 정보를 다 관장하는 망 사업자인 만큼, 해킹 역시 쉽게 접근이 가능한 데다, 피해 대상은 커질 수 있기 때문입니다. 특히 패킷 감청은 현행법인 통신비밀보호법을 통해 엄격하게 제한하고 있는 행위입니다. 통신 감청에 해당하면 1년 이상의 10년 이하의 징역과 5년 이하의 자격정지까지 가능합니다.
특히 이 과정에서 KT는 DNS(Domain Name System), 즉 도메인을 IP 주소로 전환하는 시스템을 변조했단 의혹도 받고 있습니다. 다시 말해 웹하드 사이트에서 악성코드를 유포하는 것처럼 보이지만, 실제로는 웹하드 사이트가 아닌 KT 사이트로 IP주소를 바꿔 쉽게 악성코드를 유포했다는 겁니다. 다만 수사 기관에선 'DNS 변조'보다 처벌이 위중한 '패킷 감청'에 더욱 무게 중심에 두고 수사를 벌인 것으로 취재 결과 확인됐습니다. 익명을 요구한 한 정보보안 전문가는 "DNS는 망사업자인 KT가 관리하는데 이를 위조했다면 매우 심각하고 악질적인 행위"라고 비판했습니다.
◇KT "악성 그리드 제어 위한 정당한 행위"이 사건에 대한 KT 해명은 일관됩니다. '악성' 그리드 서비스를 제어하기 위한 행위라는 내용입니다. 그렇다면 왜 '악성' 그리드 업체나, 이들 업체의 고객사인 웹하드 업체가 아니라, 개인 PC를 상대로 악성 코드를 유포하는 방식으로 제어했는지는 명쾌한 답을 내놓지 못했습니다.
이번 사건 이전에도 KT와 웹하드 업체들이 사용하는 소프트웨어인 '그리드 서비스'간에는 오랫동안 이해관계의 충돌이 있었습니다. 지난 2019년 대법원까지 이어진 웹하드 업체들과 KT간 소송에서 재판부는 KT의 손을 들어준 바 있습니다. KT가 웹하드 사이트 관련 트래픽을 차단한 것이 정당하단 취지의 판결입니다. 무엇보다 그리드 서비스에 대해 사용자 스스로 자신의 PC가 서버로 이용된단 사실을 충분히 고지 않은 점 등을 들어 '악성' 프로그램으로 봤습니다. 그런데 이같은 판결이 나온 이후인 2020년 KT는, 트래픽을 차단하는 '합법적'인 방법 대신 웹하드 업체를 사용하는 KT 고객을 상대로 악성코드를 공격하는 방식을 택한 이유는 뭘까요. 의문이 남는 부분입니다.
웹하드 업체의 그리드 서비스 관련 약관 제공 모습
게다가 그리드 서비스를 여전히 '악성' 프로그램으로 볼지는 따져볼 필요도 있어 보입니다. 그리드 서비스를 선택하는 건 소비자의 몫입니다. 2019년까지 이어진 소송에서 패소한 이후 웹하드 업체들은 약관 등을 개정해 소비자에게 이를 고지하고 있었습니다. 이를 사용할지 여부는 소비자의 판단 몫인데 KT는 여전히 전체 이용자의 망 관리를 내세워, 그리드 서비스를 '악성 프로그램'으로 보고 제어하고 있었던 겁니다. 이는 앞으로 법정에서 따져볼 일입니다.
웹하드 업체 사이트 내에서 일어난 개인PC 오류창
또 다른 놀라운 점은 과학기술정보통신부의 태도입니다. KT를 비롯한 통신 3사는 망 사업자로 과기부의 관리·감독을 받고 있습니다. 보도가 나간 후 과기부는 해당 사안에 대해 "지난해 9월에 인지했지만, 수사 중인 사안이라 별도 조치는 한 바 없다"라고 알려왔습니다. 무책임한 답변이었습니다. KT팀의 해킹 의혹이 일부 직원들의 일탈이거나 혹은 악성 그리드를 제어하기 위한 행위 어느 쪽일지라도 개인 고객 PC를 상대로 악성 코드 공격을 이뤄졌다는 사실에는 변함이 없습니다. 때문에 과기부는 KT를 상대로 자체적으로 감사 지시를 하거나, 또는 대상을 통신 3사로 넓혀 이와 같은 일이 있었는지 여부를 따져볼 필요가 있습니다. 하지만 과기부가 뒷짐 지고 수사 사안을 지켜보는 사이, 시간은 사건 발생으로부터 4년이나 지나갔습니다. 만약 JTBC가 보도하지 않았다면, 또 검찰이 기소하지 않는다면, 과기부는 이런 일이 있을 수도 있는 일이라고 보고 있는 것인지, 다시 한번 묻고 싶네요.
안지현 기자(ahn.jihyun@jtbc.co.kr)