내용요약 KISA 침해사고 확인 요구에도 KT “정황 없다” 회신
광명·금천서 동의 없는 소액결제…이통망 보안 의심 확산
투자액 업계 최고지만 반복되는 사고에 실효성 논란
경기남부경찰청 전경./연합뉴스
경기남부경찰청 전경./연합뉴스

| 한스경제=박정현 기자 | KT는 2023년 정보보호투자액이 1217원으로 이통3사 중 가장 높은 보안투자를 단행했으나 최근 보안 문제가 끊임없이 불거져 투자 대비 성과가 미흡하다는 지적이 제기된다.

9일 황정아·최민희 더불어민주당 의원실에 따르면 한국인터넷진흥원(KISA)은 7월 19일 사이버 공격(내부망)과 데이터 유출정황(외부망)과 관련된 제보를 받고 KT에 침해 정황을 확인했으니 침해사고 발생 여부를 확인하라는 취지의 공문을 발송했다. 

KT는 7월 21일 자체조사 결과 '침해정황이 없다'는 내용으로 회신했고 8월 1일 원격상담시스템 구형 서버를 파기했다. 8월 8일 유출된 데이터가 자사의 데이터라는 사실을 인지했다고 밝혔다. 외부망 문제가 확인된 셈이다.

이와 별개로 경기 광명시와 서울 금천구에서는 지난달 27일~이달 6일 새벽 시간대에 자신도 모르게 휴대전화로 수십만원 상당의 소액결제가 이뤄졌다는 신고가 잇따라 들어왔다. 피해자는 총 74명(광명 61명·금천 13명)으로 피해액은 4580만원이다. 피해자들은 인접 지역에 살고 비슷한 시간대에 피해를 봤으며 KT를 이용한다는 공통점이 있지만 단말기 기종이나 개통 대리점, 소액결제가 이뤄진 판매처 및 결제 대행사(PG사)가 모두 다르다. 

KISA가 8월 22일 해당 데이터 유출을 침해사고로 신고하라고 고지했음에도 KT는 9월 8일 침해사고를 신고했다. 별도의 고객 안내는 없는 상태다. KT 관계자는 "5일 소액결제 차단 조치 이후 추가적인 발생은 확인되지 않고 있다"며 "피해 고객에게 어떤 금전적 피해가 가지 않도록 만전을 기할 것"이라고 했다.

이화영 사이버안보연구소 소장은 "같은 앱·링크 노출 없이 알뜰폰 이용자까지 피해가 발생해 KT 전산망 경유 구조에 의심이 제기된다. 통신망과 결제 시스템의 경계 지점에서 발생한 복합적인 보안 취약점을 이용한 것이라고 본다"고 분석했다.

 KT 개인정보 유출 현황.(자료=소비자주권시민회의 제공)
 KT 개인정보 유출 현황./소비자주권시민회의

이번 사태는 지난 2022년 KT 계열사 해킹으로 1만3000여명의 개인정보가 유출된 이후 3년 만에 발생한 대형 보안 침해 사고다. KT는 지난 2002년 민영화 된 이후 여러번의 해킹으로 인한 개인정보 유출 사고가 있었다. 

2012년에는 영업시스템 전산망(내부망) 해킹으로 873만명의 개인정보 유출이 있었다. 당시 KT 사장의 공식 사과와 재발방지대책 발표가 있었지만 2014년 홈페이지 해킹(외부망)으로 1170만건이 넘는 개인정보 유출 사고가 또 다시 반복됐다. 2022년 KT의 한 계열사는 개인정보 안전성 확보에 필요한 조치를 제대로 하지 않아 외부인의 해킹 공격을 정상적으로 탐지 및 차단하지 못하고 총 1만3393명의 개인정보를 유출했다.  

이후 KT는 정보보호투자액을 늘렸다. KISA의 정보보호공시 현황에 따르면 KT의 정보보호투자액은 2023년 1217억원으로 SK텔레콤 867억원(SK브로드밴드 포함), LG유플러스 631억원보다 월등히 높다. 전담인력은 역시 당해 336.6명으로 전년 동기대비 32.8명 증가했다. 

그러나 막대한 투자에도 불구하고 사고는 끊이지 않고 있다. 개인정보 유출, 소액결제 피해 사례 등이 잇따르면서 “이미 이통사의 통신망 자체가 뚫린 것 아니냐”는 근본적 회의론까지 제기된다. 광명 지역 온라인 커뮤니티에서는 “다른 이통사로 옮길 곳이 없다. SKT도 최근 해킹을 당했고 LG유플러스 역시 KT와 같은 조사를 받고 있다”는 반응이 나온다.

같은 커뮤니티 또 다른 이용자는 “이통사 전반이 의심된다. 이미 개인정보는 털렸다고 보고 있다”고 말했다. 신종 사이버 공격 수법이 진화하면서 이통사들의 대응 역량이 투자액과 별개로 여전히 시험대에 오른 것이다.

KT
KT

이에 대해 곽진 아주대 교수는 “보안 예산의 크기보다 효율적 배치와 운영이 중요하다”며 “공격 시점과 발견 시점의 시차를 고려해 상시 점검·관리 체계를 유지하고 과거 사례의 취약점을 신속히 보완해야 한다”고 강조했다. 곽 교수는 “통신사가 보안 시스템을 새로 구축하는 일은 결코 쉽지 않다”고 했다.

업계는 KT의 시스템 보안 부실이 확인될 경우 유심 해킹 사태를 겪은 SKT보다 더 큰 타격을 받을 수 있다고 내다봤다. SKT는 대규모 개인정보 유출에도 직접적인 금전 피해는 없었지만 KT 사건은 피해자들의 금전 피해가 현실화된 만큼 불신이 훨씬 클 수 있기 때문이다. 서버 폐기와 침해사고 신고 미이행 문제까지 겹치면서 KT의 대응 신뢰성에도 의문이 제기되고 있다.

법적 쟁점도 남는다. 김상겸 예율 변호사는 “정보통신망법 제48조 제1항은 정당한 접근 권한 없이 망에 침입하는 행위를 금지하고 있다”며 “이번 사건이 해당 조항에 해당한다면 KT는 반드시 신고해야 한다”고 지적했다. 그는 “만약 협력사 망 침입을 통해 정상 요청 경로가 KT로 전달돼 피해가 발생했다면 KT의 책임일 수 있다”며 “소액결제 과정 중 어느 단계에서 비정상 작동이 발생했는지 확인해 책임 주체를 특정해야 한다”고 말했다.

박정현 기자

저작권자 © 한스경제 무단전재 및 재배포 금지