KT가 서버 해킹 정황을 뒤늦게 신고했지만, 어느 서버에서 어떤 정보가 빠져나갔는지 오리무중이다. 휴대전화 유심 복제에 활용할 수 있는 정보가 포함됐을 가능성도 배제할 수 없다. 무단 소액결제 사건과 연관성이 확인되면, 파장은 더 커질 전망이다.
KT는 19일 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다고 밝히면서 “정부 조사에 적극적으로 협조해 조속한 시일 내에 침해 서버를 확정하고 구체적 침해 내용과 원인 규명을 위해 최선을 다하겠다”고 밝혔다. KT는 현재 구체적 피해 내역을 파악하지 못하고 있다. 향후 민관합동조사단의 조사 결과에 따라 사안의 무게가 달라질 수 있다. 이용자의 주민등록번호 같은 개인정보는 물론 유심 인증키, 단말기 식별 번호(IMEI) 등 복제폰에 악용될 수 있는 민감 정보가 유출됐을 경우 피해 규모나 범위는 확대될 수밖에 없다. KT는 소액결제 사태가 불거진 뒤 IMEI와 휴대전화 번호 유출 가능성을 일축해왔지만, 전날 소액결제 사태 관련 2차 브리핑에서 국제이동가입자식별정보(IMSI), IMEI, 휴대전화 번호가 일부 유출됐다고 밝혔었다.
KT가 ‘24시간 신고 의무’를 지키지 않은 점도 비판을 받고 있다. 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 확보한 KT의 신고 자료에 따르면 서버 침해 인지 시점은 9월 15일 오후 2시이고 신고 접수는 18일 오후 11시57분에 이뤄졌다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있다. SK텔레콤 역시 지난 4월 신고 기한을 넘겨 접수해 늑장 신고라는 비난을 받았었다.
정부의 관리·감독 체계가 부실하다는 지적도 제기된다. 정부는 지난 4월 SK텔레콤 해킹 사고 이후 KT, LG유플러스를 비롯해 주요 플랫폼 업체를 대상으로 보안 상황을 점검했다. 류제명 과학기술정보통신부 2차관은 합동 브리핑에서 “KT와 LG유플러스도 조사해 SK텔레콤에서 발견된 악성코드가 없다는 것은 확인했으나 (사고 기업 당사자가 아니라서) 전면적 조사를 진행할 물리적 여건, 상황은 안 됐다”고 해명했다.
박상은 기자 pse0212@kmib.co.kr