KT, 2012·2014 이어 또 대규모 보안 사고...반복되는 관리 부실
[HBN뉴스 = 이동훈 기자] 자발적으로 사고를 신고했고 직접적인 재산 피해가 확인되지 않았던 SK텔레콤에는 역대 최대 규모의 과징금이 부과된 반면, 해킹 사실 인지 이후의 대응을 둘러싸고 논란이 제기된 KT에는 위약금 면제와 3000만 원 이하의 과태료가 예고되면서, 사실상 ‘경고성 처분’에 그치는 것 아니냐는 비판이 나온다. 이러한 처분 격차를 두고 정부의 제재 기준을 둘러싼 형평성 논란이 확산되고 있다.
과학기술정보통신부(과기정통부)가 지난 29일 발표한 민관합동조사단의 최종 조사 결과에 따르면, KT의 보안 관리 체계는 ‘총체적 부실’ 수준으로 평가됐다. 초소형 기지국인 ‘펨토셀’의 인증 관리 과정에서 구조적인 취약점이 존재해, 외부 해커가 KT 내부망에 무단 접속할 수 있는 환경이 장기간 방치돼 왔다는 사실이 확인됐다.
 |
KT 침해사고 관련 질의응답하는 류제명 과기정통부 차관. [사진=연합뉴스] |
조사단은 펨토셀 납품·운영 과정에서 모든 기기에 동일한 제조사 인증서를 사용하는 관행이 유지됐고, 해외 IP 등 비정상 접속을 차단하는 기본적인 보안 조치 역시 충분히 이행되지 않았다고 판단했다. 이로 인해 불법 펨토셀을 통한 문자·음성 통화 탈취, 이른바 ‘도청’ 위험이 KT 전체 가입자에게 노출됐을 가능성이 제기됐다.
이번 사안의 파장을 키운 요인으로는 사고 인지 이후의 대응 과정이 지목된다. 민관합동조사단은 KT 서버 94대에서 총 103종의 악성코드를 발견했으며, 이 가운데 41대는 KT가 자체적으로 감염 사실을 확인한 상태였던 것으로 조사됐다. 이 과정에서 해당 사실이 즉시 정부에 공유되지 않았고, 일부 관련 기록이 삭제된 정황이 확인되면서, 조사 결과를 근거로 한 ‘은폐 의혹’이 제기되고 있다.
앞서 KT는 지난 7월 대국민 브리핑에서 “악성코드 감염 이력이 없다”고 밝힌 바 있으나, 과기정통부의 최종 조사 결과 해당 설명은 사실과 일치하지 않는 것으로 공식 확인됐다. 서버 폐기 시점에 대한 보고 내용과 백업 로그 제출 과정에서도 혼선이 있었던 것으로 드러나면서, 단순 관리 부실을 넘어 사고 대응의 적정성을 둘러싼 논란이 확대되는 양상이다.
이용자 피해도 구체화됐다. 단말기 식별번호 2만 2227건이 유출됐고, 이 가운데 368명은 무단 소액결제로 약 2억 4300만 원의 금전적 손실을 입은 것으로 집계됐다.
그럼에도 정부의 최종 조치는 ▲전 가입자 대상 해지 위약금 면제 주문 ▲재발방지 위한 시정계획 제출 ▲3000만 원 이하의 과태료 부과에 그칠 가능성이 거론되고 있다.
업계 일각에서는 “공식 조사에서 총체적 관리 부실과 문제적 대응 정황이 확인된 사안임을 감안하면, 처분 수위가 상대적으로 낮게 책정된 것 아니냐”는 주장이 나온다.
형평성 논란은 SKT 사례와 비교되며 더욱 부각된다. 개인정보보호위원회는 지난 8월 SKT의 대규모 유심 정보 유출 사고와 관련해 과징금 1347억 9100만 원과 과태료 960만 원을 부과했다. 이는 개인정보보호위원회가 2020년 출범한 이후 내린 처분 가운데 가장 큰 규모다.
당시 SKT는 사고를 자발적으로 신고했고, 이번 KT 사례와 달리 직접적인 재산 피해는 확인되지 않았다.
더욱이 KT의 대규모 정보 유출 사고가 이번이 처음이 아니라는 점에서 비판적 시각은 쉽게 가라앉지 않는 분위기다. KT는 2012년 870만 명, 2014년 1200만 명의 개인정보 유출 사고 등 과거에도 여러 차례 전국적인 보안 사고를 겪었으며, 이후에도 유사한 문제가 반복돼 왔다는 점에서 구조적 개선의 실효성에 의문이 제기되고 있다.
KT는 이번 조사 결과를 엄중히 받아들인다며, 조속한 시일 내에 고객 보상안과 전사적 보안 혁신 방안을 발표하겠다는 입장을 밝혔다.
보안 전문가들은 “해킹 사고 자체보다 더 우려되는 것은 사고 이후의 대응 과정과, 이를 둘러싼 행정 처분이 시장과 국민에게 주는 신호”라며 “정부가 처벌 수위와 기준에 대해 보다 명확한 설명과 일관된 원칙을 제시하지 않는다면, 유사한 논란은 반복될 수밖에 없다”고 지적한다.
[저작권자ⓒ HBN뉴스. 무단전재-재배포 금지]
