[방송기술저널 백선하 기자] 국회 과학기술정보방송통신위원회가 9월 24일 이동통신 3사와 롯데카드에서 잇따라 발생한 해킹 사태와 관련해 청문회를 개최했다.
과방위 소속 여야 의원들의 집중 타깃은 축소‧은폐 의혹이 일고 있는 KT와 롯데카드였다. 앞서 김민석 국무총리는 22일 ‘통신사 및 금융사 해킹 사고 관련 긴급 현안 점검 회의’ 자리에서 사업자의 사고 은폐 및 축소 의혹이 제기되고 있는데 문제가 있다면 분명하게 책임을 묻겠다고 밝힌 바 있다.
김영섭 KT 대표는 “소액 결제 사고로 고객뿐 아니라 전 국민께 불안과 심려를 끼쳐 진심으로 죄송하다”며 “펨토셀 관리가 부실했다는 점을 인정한다”고 고개 숙였다. 조좌진 롯데카드 대표 역시 “고객 정보 유출 자체가 엄청난 실수이자 잘못”이라며 “소비자 불편을 최소화하기 위해 최선을 다하겠다”고 말했다.
KT의 소액 결제 사고와 개인정보 유출 사고는 시스템에 등록되지 않은 불법 초소형 기지국(펨토셀)로 인해 발생한 것으로 확인됐다. KT는 올해 9월 기준으로 전국에 펨토셀 약 23만 2,000대를 보유하고 있다. 이중 4만 3000대 펨토셀은 3개월간 미접속 상태인 것으로 알려졌다.
박정훈 국민의힘 의원은 “SK텔레콤이나 LG유플러스는 장기간 안 쓰는 사람들을 차단하는 시스템이 있었는데 KT는 이걸 방치한 것”이라며 관리 부실을 지적했다. 박 의원은 “국가기간통신망을 통해 만들어진 회사이고, 민영화가 돼 많은 고객들이 사용하고 있는 회사인데 보안이 이렇게 취약하다는 경고까지 무시하는 시스템이라면 조직문화가 어떻게 돼 있는 것이냐”고 비판했다.
이날 청문회에 참석한 이종현 SK텔레콤 통합보안센터장 부사장은 SK텔레콤의 경우 사용하지 않는 펨토셀을 1주일간 모니터링한 후 3개월간 사용이 없으면 망에서 완전히 삭제한다고 설명했다. 반면 KT는 설치와 회수 관리 업무를 외주에 맡기고 있었다.
이주희 더불어민주당 의원 역시 KT의 허술한 보안 체계를 꼬집었다. 이 의원은 “저희가 파악하기로는 펨토셀에 접속하기 전 검증하는 시스템이 있는데 KT의 경우 인증서 유효기간이 10년이어서 한 번 접속하고 나면 그 뒤에는 위치 정보나 소프트웨어 확인 절차 없이 그냥 망에 접속해 사용할 수 있는 시스템이라고 하던데 맞느냐”고 질의하며 “어떻게 이것을 관리하는 체제가 하나도 없느냐”고 따졌다.
이 의원은 서버 폐기 과정도 문제 삼았다. 이 의원은 “정말 상세히 보면 증거인멸이 되었다고 볼 수밖에 없는 그런 이상한 점이 한두 가지가 아니다”라면서 “7월 18일 KISA가 이메일을 통해 해킹 제보를 접수한 뒤 KT와 LG유플러스에 침해사고 사실 확인 요청을 했는데 8월 8일 KT가 자체 조사 결과 침해 징후가 확인되지 않았다고 통보했다. 그런데 침해 사실이 확인됐다는 확정 보고가 있지도 않은 상태에서 8월 6일 서버를 폐기한다. 이게 무슨 일이냐”고 김 대표에게 물었다.
이 의원은 “청문회를 준비하면서 국가적으로 사이버 안보 체계가 정말 완전히 무너져 내렸다. 총체적 난국이다. 이런 생각을 계속하게 된다”며 “우리가 해커와 보안, 정보 보안과 해커 이게 창과 방패의 싸움인데 우리의 방패가 완전해서 무너져 내린 형국”이라고 강조했다.
이정헌 민주당 의원 역시 “이번 KT와 롯데카드의 해킹 사태는 단순한 소액 결제 피해나 개인정보 유출의 문제가 아니다. 국가안보와 직결된 심각한 위기”라고 말한 뒤 “KT는 해킹 사실을 조기에 알고도 사건을 축소하고 지연 공개했다는 비판을 받고 있는데 이는 단순한 관리 부실이 아니라 고의적 은폐이고 또 국민 신뢰를 정면으로 배반한 행위”라고 목소리를 높였다. 이 의원은 “SK텔레콤에서 한 번 당하고 KT로 옮겼더니 더 크게 당했다는 이용자들이 많다”면서 “절도 피해를 입고 이사를 갔는데 이사를 간 새 집에서 더 나쁜 강도를 만난 것 아니겠느냐”고 덧붙였다.
