경찰이 KT 서버 침해 정황과 관련해 정보통신망 침입 혐의로 신원 미상 해커에 대한 입건 전 조사에 나섰다. 경찰청 국가수사본부 사이버테러수사대는 지난 19일부터 이번 사건에 대한 내사를 진행하고 있다고 23일 밝혔다.

KT는 지난 18일 전사 서버 점검 결과 침입 흔적 4건과 의심 정황 2건을 확인했다며 한국인터넷진흥원에 신고했다. 경찰은 이 같은 내용을 언론 보도를 통해 인지하고 수사에 착수한 것으로 전해졌다.

국가수사본부는 KT가 KISA로부터 해킹 가능성을 통보받고도 관련 서버를 폐기했다는 의혹에 대해서도 조사하고 있다. 경찰은 KT 측에 백업된 서버 활동 기록을 제출하도록 요청한 상태다.

한편 KT 서버에서 2018년부터 올해까지 침해 흔적과 의심 정황이 6건 발견된 것으로 확인됐다. 이정헌 더불어민주당 의원이 KISA로부터 보고받은 자료에 따르면, 외부 보안업체는 2018년과 2020년 운영 서버 2대에서 침해 의심 정황을 발견했고, 2019년과 2021~2022년, 2024~2025년 서버 4대에서 침해 흔적을 포착했다.

이는 KT가 SK텔레콤 해킹 사건 이후 외부 전문업체에 의뢰해 4개월간 진행한 전수조사 결과다. 2023년을 제외하면 매년 서버 침해 시도가 있었던 것으로 분석된다.

KISA는 침해 방식이 SK텔레콤 해킹 당시 발견된 악성코드 'BPF 도어' 방식은 아니라고 설명했다. 하지만 구체적인 침해 내용은 KT 측 동의 없이 공개할 수 없다는 입장을 유지하고 있다.

KT의 서버 폐기 과정도 논란이 되고 있다. KT는 지난 7월 19일 KISA로부터 해킹 의심 사실을 통보받았지만, 자체 조사 결과 침해 사실이 없다고 회신한 후 8월 1일부터 13일 사이 서버를 모두 폐기한 것으로 파악됐다.

특히 KISA가 12일 서버 제출을 요구했을 때 "이미 1일 서버를 폐기했다"고 허위 보고한 사실이 드러나면서 고의 은폐 의혹이 제기되고 있다. 실제로는 총 세 차례에 걸쳐 서버 폐기가 이뤄진 것으로 확인됐다.

KT는 지난 15일 폐기된 서버의 활동 기록이 백업됐다는 사실을 뒤늦게 파악해 18일 민관합동조사단에 알리고 22일 관련 자료를 제출했다.

경찰은 보안 용역업체가 7월 KT에 의심 정황을 통보한 것이 사실인지, 중간 보고 시 KT에 전달된 침해 의심 정황이 더 있는지 등을 확인해 '서버 폐기' 의도를 규명할 계획이다.

무단 소액결제 사건과 서버 침해의 연관성도 주목받고 있다. 현재까지 경찰에 신고된 피해자는 214명, 피해액은 1억 3650여만원으로 집계됐다. 불법 기지국을 차량에 싣고 다닌 혐의를 받는 40대는 "신호가 잘 잡히는 새벽에 범행하라"는 지시를 받았다고 진술한 것으로 알려졌다.

24일 국회 과학기술정보방송통신위원회는 KT·롯데카드 대규모 해킹사고 청문회를 열고 KT 임원들을 증인으로 소환해 관련 의혹에 대한 답변을 받을 예정이다.