KT가 최근 발생한 무단 소액 결제 피해 사태와 관련해 서버 해킹 정황을 이미 7월에 알고 있었던 것으로 파악됐다. 또한 2018년부터 올해까지 서버 침해 흔적과 의심 정황이 포착돼 KT의 부실한 보안 환경이 도마에 오르고 있다.
한민수 더불어민주당 의원은 24일 국회 과학기술정보방송통신위원회가 연 ‘통신·금융 대규모 해킹 사고 청문회’에서 지난 4월부터 KT 서버 전수조사를 맡은 외부 보안업체가 KT에 7월 9일 중간보고한 내용을 공개하며 이같이 밝혔다. 한 의원에 따르면 (당시 보고 내용에는) 원격 상담 서비스 서버 의심 정황 1종이 포함돼 있다. 이에 대해 황태선 KT 정보보안실장(상무)은 “7월 22일 중간 보고를 받았으나 미사용(서버) 계정에 대한 것”이라며 즉시 조치를 취하지 못한 이유를 설명했다. 실제로 업무에 사용하지 않고 방치된 서버라는 의미다. 이같은 미사용 서버는 관리가 되지 않을 경우 방치돼 보안 사각지대로 남겨지기 쉽다. 따라서 미사용 서버도 철저히 폐기하거나 격리하는 절차가 필요하다.
이날 청문회에서는 KT의 초소형 기지국(펨토셀) 관리 부실에 대한 지적도 이어졌다. 이상휘 국민의힘 의원은 KT가 펨토셀 설치 및 관리를 외주업체가 맡고 있는 부분을 지적하며, 관리 부실이 사건을 초래한 원인이라고 꼬집었다. 이에 대해 김 대표는 “소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다”며 “사고 이후 (불법 펨토셀이) 망에 붙지 못하게 조치했다”고 답변했다.
또한 사건을 보고하는 과정에서 은폐·축소 의혹도 불거졌다. KT는 지난 4일 소액결제 피해 원인 파악을 시작해 오후 11시 30분쯤 ARS 인증 과정에서 비정상 유형을 발견했다. 이후 다음 날인 5일 새벽에 ARS 비정상 결제를 차단했다. 황정아 더불어민주당 의원은 이에 대해 “KT 내부 자료에는 9월 4일에 (해킹) 이상 징후를 발견했다고 나와 있는데 9월 9일에는 해킹 정황이 없다고 밝혔다”고 지적했다. 황 의원은 “9일에 해킹 정황이 없다고 말하고 10일 개인정보보호위원회가 조사를 시작하자 부랴부랴 신고했다”며 “조사를 맡긴 용역업체에서는 7월 9일에 서버 침해 정황을 인지하고 고지했는데, KT는 서버를 멋대로 폐기했으니 명백한 증거 인멸”이라고 비난했다. 실제로 이 과정에서 소액결제 피해자 수는 278명에서 362명으로 늘었다. 이에 대해 김 대표는 “처음에는 ARS 피해가 많이 발생해 인천, 광명, 부천에서 발생한 사고를 위주로 발표했고 빅데이터 수집에 시간이 걸렸으나 현재는 SMS와 PASS 인증 부분도 분석 중”이라고 해명했다.
한편 KT는 지난 10일 1차 브리핑에서 불법 기지국 신호를 수신한 고객 약 1만9000명 중 5561명의 가입자식별정보(IMSI)가 유출됐다고 발표했다. 하지만 이후 18일 2차 브리핑에서는 불법 기지국 신호 수신 고객 2만30명이 IMSI뿐만 아니라 단말기식별번호(IMEI)와 휴대폰번호까지 유출됐을 가능성을 인정했다.
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >
wise@sedaily.com
