지난 4월 발생한 SK텔레콤 해킹 당시 불거졌던 문제가 이번 KT 무단 소액결제 사태에서도 되풀이되고 있다. 통신사는 상황을 인지하고도 파장 축소에 급급하며 정부 당국에 늦게 신고했고, 당국은 유출 정보와 규모를 제대로 파악하지 못하는 등 미숙한 대처 모습을 보였다. 해킹 사고는 이어지는데 기업은 무책임하고 당국은 안일하게 대응하고 있다는 비판이 나온다.
22일 국회 과학기술정보방송통신위원회 소속 국민의힘 박충권 의원에 따르면 KT는 당초 폐기됐다고 밝힌 해킹 의혹 서버가 전수조사 과정에서 백업된 것을 확인하고 이를 지난 18일 합동조사단에 공유했다. 지난달 8일 미국 보안 전문지 ‘프랙’이 KT 웹사이트의 인증서와 개인키 유출 의혹을 제기하자 과기정통부는 KT에 자체 조사 결과 자료 제출을 요청했지만, KT가 해당 서버를 폐기했다고 답했었다. KT가 해당 서버의 로그 기록이 백업된 사실을 뒤늦게 파악하면서 조사가 가능해지게 된 것이다.
이는 KT의 내부 관리 부실뿐 아니라 정부 관리·감독도 허술하다는 정황이다. 앞서 SK텔레콤 해킹 당시 정부는 KT와 LG유플러스에 대해서도 전수조사를 진행했지만 문제점을 발견하지 못했다고 밝혔다. 이에 대해 과기정통부는 “KT·LG유플러스의 경우 SK텔레콤에서 발견된 악성코드는 없었다는 점을 확인한 것”이라면서도 “보안 상태 전반에 대해 집중 점검한 것은 아니었다는 한계가 있었다”고 설명했다.
사고 이후 정부의 ‘권고’ 등 조치가 구속력이 없는 점도 문제로 꼽힌다. 정부는 SK텔레콤 해킹 당시 해킹 사고에 따른 피해 발생 시 100% 책임보상 방안을 마련하고, 위약금 면제 대상을 확대하라고 권고했지만 이는 실행되지 않았다. 방송통신위원회 통신분쟁조정위원회는 SK텔레콤이 위약금 면제 기간을 지난 7월 14일로 정한 데 대해 연말까지 연장하라고 직권조정 결정을 내렸지만 SK텔레콤은 이를 받아들이지 않았다.
해킹을 원천적으로 차단하기는 불가능하지만 적어도 은폐 또는 늑장 대응이 반복되지 않도록 신고 시스템에 대한 전반적 개편이 필요하다는 지적이 나온다. 경제정의실천시민연합은 “기업이 피해 발생을 인지하는 즉시 신고와 72시간 내 공시를 강제 법제화하고, 이를 위반할 경우 해당 기업은 매출 연동 과징금과 영업정지, 경영진의 형사처벌 및 성과급 환수 등 최고 수준의 제재를 받아야 한다”고 주장했다.
김민석 국무총리는 이날 ‘통신사·금융사 해킹 사고 관련 긴급 현안점검회의’를 열고 관계부처에 점검을 당부했다. 김 총리는 “유사한 해킹사고가 발생하지 않도록 통신·금융권 정보보호 체계를 전면적으로 재정비하겠다”며 “기업의 신고가 있어야만 조사가 가능했던 그간의 상황을 직권으로 조사할 수 있도록 조사 권한도 강화하겠다. 보안 의무 위반에 대한 제재도 한층 강화해서 책임을 확보하겠다”고 말했다. 국가안보실은 관계부처와 함께 이달 말 정보보호종합대책을 발표할 계획이다.
심희정 윤예솔 기자 simcity@kmib.co.kr