KT가 자사 서버에 대한 외부 침해 사실을 인지하고도 사흘이 지난 뒤에야 당국에 신고한 것으로 드러났다. 보안 사고 발생 시 24시간 이내에 의무적으로 신고해야 하는 법령을 어긴 셈이어서, KT의 대응이 또다시 도마에 오르고 있다.

과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에 따르면, KT는 2025년 9월 15일 오후 2시에 서버 침해 정황을 인지했으며, 관련 내용을 한국인터넷진흥원(KISA)에 제출한 시점은 18일 오후 11시 57분이었다. 현행 정보통신망법은 해킹 등 침해사고가 발생했을 경우 “최초 인지한 시점부터 24시간 이내”에 신고하도록 규정하고 있으나, KT는 이를 어겼다.

KT 측은 이 같은 침해 사실을 19일 오전 정부 합동 브리핑 직전에 기자들에게 배포한 긴급 자료를 통해 처음으로 공개했다. SK텔레콤 해킹 사태 이후 자발적으로 실시한 보안 점검 과정에서 침입 흔적을 확인했으며, 내부 보고 결과를 바탕으로 관련 기관에 알렸다는 입장이다. 하지만 전날 열린 무단 소액결제 사건 관련 브리핑에서는 해당 사실을 인지하지 못했다고 밝힌 바 있어, 정보 공개 지연에 대한 비판은 피하기 어렵게 됐다.

KT가 확인한 침해 내용은 일부 윈도우 서버에 대한 접근 후 내부망 이동 시도, 악성 코드 감염 징후, 원격 코드 실행을 통한 민감 정보 탈취 등으로 요약된다. 또한, 리눅스 계정 조작 및 SSH 보안키 유출 시도도 감지됐다. 이 같은 공격 행위는 Smominru 봇넷, 메타스플로잇(Metasploit) 프레임워크 같은 해킹 도구를 활용해 이뤄진 것으로 전해졌다. 이는 이미 체계적인 외부 해커의 침투가 있었음을 시사한다.

KT는 별도 용역을 통해 4개월간 점검을 진행해왔으며, 해킹 정황이 소액결제 피해 사례와는 무관하다고 선을 그었다. 브리핑 현장에서 KT 네트워크기술본부장은 “소액결제 사건과는 기술적 연계성이 없다”면서 “정부 브리핑 직전에서야 관련 내용을 전달받았다”고 해명했다. 하지만 해킹 사고 관련 보고 시점이 다소 늦어진 데 대해 시장은 우려의 시선을 보내고 있다.

이 같은 흐름은 향후 다른 통신사나 IT 기업의 침해사고 대응 체계 전반을 재점검하게 만드는 계기가 될 수 있다. 특히 지난해 SK텔레콤도 비슷한 늑장신고 논란에 휩싸인 바 있는 만큼, 기업들의 보안 사고 대응 속도와 투명성이 다시 한번 정책 및 시장 규제 측면의 논쟁거리로 부상할 가능성이 있다.