무단 소액결제 사건이 발생한 KT에서 서버 침해 정황이 추가로 확인됐다. 고객 개인정보가 추가로 유출됐을 가능성도 제기된다. 피해 규모가 커지면서 정부는 기업 신고 없이도 직접 조사에 나서기로 하는 등 대책 마련에 나섰다.

류제명 과학기술정보통신부 제2차관(오른쪽 두번째)이 19일 오전 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과학기술정보통신부-금융위원회 합동 브리핑에서 KT 해킹 사태 질문에 답하고 있다. 뉴스1

KT는 19일 “전날 오후 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다”고 밝혔다. 이는 지난 4월 SK텔레콤 해킹 사건 이후 KT가 외부 보안 기업에 의뢰해 약 4개월(5~9월)간 사내 서버를 조사한 결과다. 이번 조사 결과로 그간 가능성을 부인해왔던 인증키 유출과 복제폰 생성 가능성을 완전히 배제할 수 없게 됐다. 이날 사이버 침해사고와 관련한 합동 브리핑에서 이동근 KISA 디지털위협대응본부장은 구체적으로 어떤 서버에 침투했는지에 대해 “세부 분석에 들어가야 해서 지금 말하기 어렵다”고 말했다.

KT 사태의 개인정보 유출 범위와 피해 규모는 갈수록 확대되고 있다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 했지만 11일 기자회견에서 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 전날에는 불법 기지국 신호를 수신한 2만명의 국제단말기식별번호(IMEI)와 휴대전화 번호가 유출된 정황을 추가로 발표했다. 소액 결제 피해도 추가되고 있다. KT가 밝힌 무단 소액결제 피해자는 278명에서 362명으로, 피해 금액은 약 1억7000만원에서 약 2억4000만원으로 늘었다.

과기정통부와 금융위원회는 이날 합동 브리핑을 열고 사건 조사 현황과 향후 대응 방향을 발표했다. 민관합동조사단은 지난 6월 1일부터 이달 10일까지 KT 소액결제 서비스를 이용한 220만명의 자동응답전화(ARS) 통화기록 2267만건을 분석했다. 류제명 과기정통부 2차관은 “불법 기지국 ID 4개 외 추가 발견은 없었다”며 “이달 9일부터 정산 인증된 기지국만 KT 내부망에 접속할 수 있도록 조치해 현재는 미등록 불법 기지국 접속은 불가능하다”고 밝혔다.

정부는 범부처 합동 보안 체계를 원점에서 재검토한 후 근본 대책을 마련할 계획이다. 특히 침해사고 사실을 고의로 지연 신고하거나 미신고할 경우 과태료 등의 처분을 강화하고 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 조사할 수 있도록 제도를 개선한다. 아울러 최고정보보호책임자(CSIO)의 권한 강화와 징벌적 과징금 도입도 검토한다.

구재형 KT 네트워크부문 네트워크기술본부장이 18일 서울 종로구 KT광화문빌딩에서 소액결제 피해 관련 대응 현황을 발표하고 있다. 연합뉴스

KT 해명과 달리 갈수록 피해가 늘어나면서 여러 논란이 인다. 우선 지난 5월부터 진행한 보안 점검 결과를 뒤늦게 발표한 것 아니냐는 지적이 나온다. KT 측은 “서버 점검은 CISO 쪽이 별도로 진행한 것”이라며 “(이번 사건과) 상호 연결성이 없다 보니 전날 저녁에야 인지하게 됐다”고 해명했다. 이번 무단 소액결제 피해 조사를 최근 3개월 이내로 한정한 것을 두고도 말이 나온다. 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)은 “추가 피해 확인을 위해 소액결제 ARS 조사 범위를 더 늘려야 함에도 KT가 소극적인 대처로 소비자 우려를 키우고 있다”고 지적했다. 이에 대해 KT 측은 “8월부터 소액 결제 피해가 발생했고, 6월과 7월은 관련 피해가 아예 없어 그 이전 기간은 확인 필요성이 낮은 것으로 판단했다”고 밝혔다.

정부 대책도 원론적 수준에 그친다는 분석도 나온다. 황석진 동국대 정보보호대학원 교수는 “IMSI와 IMEI가 유출됐고, 내부 서버 침해 흔적이 있다면 KT 내부에서 관련 정보가 유출됐을 가능성이 커진 것”이라며 “정부가 더 적극적으로 개입할 방안을 마련해야 한다”고 말했다. 김승주 고려대 정보보호대학원 교수는 “미 보안전문지 ‘프랙’ 보고서를 보면 우리나라는 금융·통신뿐 아니라 주요 정부 부처와 군 등이 뚫렸다”며 “이번에 내놓은 정부 대책만으론 부족하고, 미국이 2007년 추진한 ‘신뢰할 수 있는 인터넷 연결’(TIC) 정책 등을 참고해 전체 시스템을 전수 조사해야 한다”고 진단했다.