KT가 해킹 사고 처리 과정에서 서버를 폐기해 증거를 은닉했다는 의혹을 받고 있는 가운데, 경찰이 강제수사에 착수했다.
경기남부경찰청 반부패·경제범죄수사대는 19일 오전 9시쯤부터 오후 5시50분쯤까지 약 9시간 동안 수사관 20여 명을 동원해 KT 판교 및 방배 사옥에 대한 압수수색을 벌였다고 밝혔다.
KT 판교 사옥에는 이번 사태와 관련한 의혹을 해소할 수 있는 열쇠로 불리는 정보보안실이 위치해 있다. 경찰은 압수수색을 통해 KT가 해킹 사고를 언제 인지했는지, 이후 조처를 어떻게 했는지 등에 대해 확인할 계획이다.
이를 위해 KT의 원격상담시스템 서버 폐기와 관련한 내부 보고서 등 관련 서류를 중점적으로 확보한 것으로 파악됐다. 또, 해킹으로 빚어진 침해 사고 자체와 관련한 내부 보고 자료 등도 함께 확보했다.
아울러 경찰은 정보보안실 총괄자라고 할 수 있는 황태선 KT 정보보안실장을 위계에 의한 공무집행방해 혐의로 입건했다. 경찰은 압수수색을 통해 황 실장의 휴대전화 등도 확보한 것으로 알려졌다.
KT 방배 사옥은 인증서 유출 등 해킹 의혹이 나온 원격상담시스템이 구축돼 있던 곳이다. 경찰은 해킹 의혹 제기 후 KT가 원격상담시스템 구형 서버를 당초 계획보다 앞당겨 폐기한 과정 전반을 들여다볼 방침이다. 핵심은 KT가 해킹 사고 처리 과정에서 고의로 서버를 폐기한 정황이 있는지 여부를 가려내는 것이 될 전망이다.
경찰은 확보한 압수물 분석을 통해 최대한 이른 시일 내에 사실관계를 파악하겠다는 입장이지만, 압수한 서류의 양이 방대해 이를 분석하는 데에는 긴 시간이 걸릴 것으로 보인다. 이와 관련해 KT 측은 “수사 중인 사안으로 확인이 불가하다”고 말했다.
한편, 앞서 미국 보안전문 매체 프랙은 지난 8월8일자 보고서에서 중국 배후로 추정되는 해킹 조직이 KT의 고객 원격 점검용 사이트 ‘rc.kt.kr’의 인증서 등을 탈취했다는 의혹을 보도한 바 있다.
이에 과학기술정보통신부는 KT에 자체 조사 결과 자료를 제출할 것을 요청했고, 같은 달 13일 KT는 침해 의혹이 없다는 조사 결과를 발송하면서 군포·구로·광화문(수어용) 고객센터 구형 서버를 당초 예정보다 빠른 1일에 서비스를 종료했다고 밝혔다.
그러나 한국인터넷진흥원(KISA)이 이에 앞선 7월9일 같은 정황을 KT에 전달한 사실이 알려지면서, KT가 자료를 폐기할 의도로 서버 종료를 서둘렀다는 의혹이 제기됐다.
과기정통부는 KT가 서버 폐기 시점을 8월1일이라고 밝혔지만, 실제로 같은 달 1일(2대), 6일(4대), 13일(2대) 등 13일까지 세 차례에 걸쳐 폐기 작업을 진행하는 등 허위로 답변을 제출했고, 폐기 서버 백업 로그가 있었지만 9월18일까지 민관 합동 조사단에 밝히지 않았다고 주장했다. 이후 과기정통부는 지난달 2일 조사단의 조사 결과를 토대로 “KT가 정부 조사를 방해하기 위한 고의성이 있다”고 판단해 경찰에 수사를 의뢰했다.
