굿모닝작전
‘역대급 서버 해킹’을 당한 KT의 최종 조사 결과가 2개월 전 중간 조사와 크게 차이 나지 않은 것은 로그 기록 보존 기간 때문이다. 과학기술정보통신부는 29일 민관합동 조사 결과를 발표하며 “KT가 악성코드 감염 서버의 시스템 로그를 1~2개월만 보관해 침해 사고의 최초 침투 시점과 감염 경로를 규명하는 데 한계가 있었다”고 밝혔다.
앞서 SK텔레콤 해킹 사태에서도 과거 구간의 로그 부재로 유출 여부를 특정하지 못한 전례가 있는 만큼 국가 핵심 기간통신망의 로그 보관 기준을 강화해야 한다는 지적이 나온다.
로그는 누가 어떤 IP와 계정으로 언제 접속해 어떤 명령을 했는지를 시간순으로 보여주는 핵심 기록이다. 보안업계에서 로그를 ‘정보기술(IT)용 CCTV’라고 부르는 이유다. KT의 로그 공백은 악성코드가 ‘언제부터’ 침투했는지를 흐리게 했다. 조사단은 BPF도어 감염은 2022년부터 2024년까지, 루트킷 감염은 2023년부터 2025년까지 이어진 것으로 추정했지만 정확한 시작 시점은 특정하지 못했다. 과기정통부 관계자는 “로그 기록이 남아있지 않은 기간에 정보 유출이 없었다고 단정할 수 없다”고 밝혔다.
이 같은 논란은 SK텔레콤 침해사고에서도 그대로였다. 당시 SK텔레콤은 방화벽 로그를 약 4~5개월만 보관해 악성코드가 통신망에 잠복해 있던 약 3년 중 실제 피해 여부를 확인할 수 있는 구간이 전체의 14% 수준에 그쳤다는 지적을 받았다. 기록이 없는 구간은 피해 여부를 특정하지 못했다.
정보보호업계 관계자는 “모든 기업에 장기간 로그 보관 의무를 적용하는 것은 현실적이지 않다”면서도 “통신사처럼 중요한 국가 기간산업을 운영하는 사업자에 대해서는 보안 규제 수준을 높이는 방안을 검토할 필요가 있다”고 말했다. 이정수 경기남부경찰청 사이버수사과장은 이날 KT 불법 펨토셀 무단 소액결제 사건 피의자 13명을 검거하고 이 중 5명을 구속 송치했다고 밝혔다.
이영애/최지희 기자 0ae@hankyung.com
뉴스
