김영섭 KT 대표·서창석 네트워크부문장 등 증인 출석
IMSI 유출 경로 및 초소형 기지국 출처·관리 등 질타
경영진 책임론과 피해 고객·소비자 보호 논의 본격화

서울 종로구 KT광화문 사옥 전경.  사진=연합
서울 종로구 KT광화문 사옥 전경.  사진=연합

최근 KT 고객정보 유출로 인한 무단 소액결제 피해가 이어지면서 정치권에서도 전방위적인 대응에 나서고 있다.

국회 과학기술정보방송통신위원회는 오는 24일 통신사 해킹 관련 청문회를 열고 사고 경위와 통신사 보안 체계 전반을 점검할 계획이다. 증인으로 김영섭 KT 대표이사와 서창석 KT 네트워크부문장(부사장), 황태선 KT 정보보안상무(CISO)가 참석한다.

청문회에서는 KT IMSI 유출 경로, 추가 피해 가능성, 불법 펨토셀 관리 체계, 자진 신고 제도의 허점, 피해자 보상 대책 등을 집중적으로 논의할 예정이다.

이번 사태는 KT의 무단 소액 결제 사고가 발생한데서 비롯됐다.

지난달 27일부터 이달 6일까지 경기 광명시 소하동·하안동, 서울 금천구 등에서 거주하는 KT 가입자들의 휴대전화에서 본인 의사와 무관하게 모바일 상품권 구매, 교통카드 결제 등 수십만 원이 결제되는 사건이 잇따라 발생하며 피해가 수면 위로 드러났다.

확인된 피해자 규모는 당초 278명에서 362명으로 늘어났고 피해액도 1억7000만원에서 2억4000만원으로 확대됐다.

핵심 원인은 등록되지 않은 불법 초소형 기지국을 이용했다는 점이다. KT 가입자 중 해당 불법 기지국에 접속한 2만명의 이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 휴대폰 번호 등 3가지가 유출된 상황이다.

무단 소액결제 사건에 이어 KT의 서버 침해 정황까지 추가로 확인되면서 파장이 더욱 커지고 있다.

KT는 약 4개월간의 외부 보안 전문업체 점검 결과, 서버 침해 흔적 4건과 의심 정황 2건을 확인해 지난 18일 밤 한국인터넷진흥원(KISA)에 신고했다고 밝혔다. 이로 인해 기존 소액결제 피해에 더해 서버 보안 허점까지 드러나면서 비판을 피하기 더 어려울 전망이다.

현재까지 구체적인 침해 내용이나 피해 규모는 공개되지 않았으나 이번 서버 침해 정황은 통신사 보안 체계 전반에 대한 신뢰를 크게 흔들고 있다는 평가다.

정부 역시 대응에 나서 합동 브리핑을 통해 KT 소액결제 침해사고 조사 경과 및 향후 대응 방안을 발표했다.

류제명 과학기술정보통신부 제2차관은 이날 정부서울청사에서 열린 합동 브리핑에서 “민관합동조사단은 경찰과 협력해 KT 소액결제 침해사고 원인을 신속하고 철저히 분석해 결과를 투명하게 공개하겠다”고 밝혔다.

이어 “해커의 불법 초소형 기지국이 KT 내부망에 어떻게 접속했는지 피해자의 통신을 어떻게 탈취했는지, 결제에 필요한 개인정보를 어떤 경로로 확보했는지를 집중적으로 조사하고 있으며 KT의 펨토셀 관리 실태에서 확인된 문제점은 즉시 시정하도록 조치했다”고 덧붙였다.

사태가 확산되는 가운데 이번 청문회에서는 불법 기지국의 출처와 통신사 보안 관리 책임에 대해 집중적인 질의가 이어질 것으로 예상된다. 최초 밝혀졌던 피해 규모가 더욱 늘어난 만큼 이에 대한 지적도 제기될 것으로 보인다.

지난 4월 유심 정보 유출 사태 당시 유영상 SK텔레콤 대표가 국회에 증인으로 출석한 데 이어 이번에는 KT 대표이사를 비롯한 주요 경영진이 국회 증언대에 오르면서 통신사 전반의 보안 강화 필요성 역시 더욱 강조될 방침이다.

최근 반복적으로 발생한 대규모 해킹 사고로 인해 경영진의 책임 리스크도 가중될것으로 전망된다.

유사한 사건이 재발할 경우 경영진에 대한 책임이 한층 엄중하게 평가될 가능성이 있으며 사고 대응 과정에서 피해자 보상 및 보호 등 실질적인 후속 조치 방안이 기업 브랜드 이미지와 경영 성과에 직접적인 영향을 미칠 것이라는 분석이다.

이에 KT는 관련 조사에 적극적으로 협조하고 대응에 적극 나서고 있다는 입장이다.

KT 관계자는 “현재 구체적인 내용을 규명하기 위해 민관합동조사와 경찰 수사가 진행 중이며관련 조사에 적극적으로 협조하고 있다”며 “고객들에게 큰 불편과 우려를 끼친 점에 대해 거듭 사과하며 피해 고객에 대한 보호와 지원을 최우선으로 삼고 있다”고 말했다.

한편, 당초 국회 과학기술정보방송통신위원회는 LG유플러스의 외주 보안 시스템 해킹 정황에 따라 홍범식 LG유플러스 대표를 증인으로 채택했으나 최근 롯데카드에서 297만건의 개인정보 및 결제정보 유출 사고가 발생하면서 증인 명단이 변경된 것으로 알려졌다.

이에 따라 홍관희 LG유플러스 최고정보보안책임자(CISO)는 참고인으로 출석할 예정이다.

파이낸셜투데이 정유라 기자

저작권자 © 파이낸셜투데이 무단전재 및 재배포 금지