KT가 해킹 의심 정황 인지 후 관련 서버를 의도적으로 폐기했다는 의혹이 제기된 가운데, 해당 서버는 가상머신(VM) 기반의 구축형 솔루션으로 라이선스 비용을 지불하고 있던 것으로 나타났다. 비용 효율화를 위해 구축형을 구독형으로 전환하는 과정에서 기존 서버 사용이 종료된 것이다. 의도적 파기로 보기 어렵다는 의견도 제시됐다.
8일 KT 내부 관계자에 따르면, KT는 지난해 9월 온프레미스(사내설치) 기반 가상 원격상담시스템을 퍼블릭 클라우드 기반의 구독형 서비스형소프트웨어(SaaS) 모델로 전환하는 계획을 수립한 이후 3월 10일부터 시범 운용을 거쳐 8월 1일자로 전국 전환을 완료했다.
KT 관계자는 “해킹 의혹으로 문제가 된 SSL 인증서는 고객센터 원격지원용 다운로드 서버에서 쓰였던 것으로, 고객정보는 전혀 포함되지 않았고 이미 유효기간이 만료된 상태였다”면서 “물리 서버가 아닌 VM 기반으로 운영된 만큼 계약을 종료하면 자동 삭제되는 구조라 고의적 서버 파기라는 주장은 사실과 다르다”고 밝혔다.
이 관계자는 “구축형 VM일때 원격상담을 위한 라이선스만 117개 만들었는데 이 비용이 상당히 컸다”면서 “이를 비용 효율화 관점에서 구독형으로 전환하면서 품질 제고는 물론 수억원대의 IT 아웃소싱(ITO) 비용도 절감할 수 있었다”고 설명했다.
KT는 시범 운용을 통해 안정성·기능에 대한 검증이 완료된 만큼, 고정비 절감 차원에서 병행 운용 연장 대신 구형 서버 계약을 조기 종료하는 과정에서 서버 데이터 파기가 이뤄졌다는 것이다.
다만 이 시점이 한국인터넷진흥원(KISA)이 KT 측에 해킹 의심을 통보한 7월 19일 이후라는 점에서 의도적 은폐가 아니냐는 지적이 제기됐다.
이에 대해 KT 관계는 “KISA로부터 이메일로 해킹 의심 정황이 있단 내용을 전달받은 후 내부 조사를 진행했지만 침해사고 흔적을 찾을 수 없었다”면서 “이틀 뒤 특이사항 없다고 회신한 이후에도 아무런 피드백이 없어 기존 예정했던 사업 계획대로 진행한 것 뿐”이라고 해명했다.
보안업계에서도 VM 환경을 중단하고 퍼블릭 클라우드로 워크로드를 완전히 이전하는 과정에서 핵심정보도 아닌 기한이 만료된 SSL 인증서까지 백업하는 경우는 찾아보기 힘들다는 설명이다. 전문가들은 이번에 유출된 인증서가 자사망 직접 침투보다는 외부 개발자 PC 등 다른 경로에서 노출됐을 개연성이 큰 것으로 보고 있다.
과학기술정보통신부와 KISA는 침해사고 여부 확인을 위해 이달 1일부터 KT를 찾아 현장 정밀점검에 돌입했다. 회사 측도 정부 조사에 적극 협조하겠다는 입장이다.
박준호 기자 junho@etnews.com
!["잠든 사이에 1700만원이"…'소액결제 피해' KT, 1%대 약세 [이런국장 저런주식]](https://newsimg.sedaily.com/2025/09/08/2GXTM40GU6_1.jpg)
![[뉴스줌인] 단기 비자 출장 관행 제동…대미 투자 불확실성 커졌다](https://img.etnews.com/news/article/2025/09/05/news-p.v1.20250905.14e6df7bc5ee465fa315f61f36059f24_P1.png)
