소액결제 피해도 ‘멘붕’인데 “이건 정부도 몰랐다?”… 소비자들 ‘날벼락’

서버 침해 흔적 추가 발견으로
개인정보 유출 위험 가중
정부 점검의 한계 드러나

KT가 소액결제 피해에 이어 서버 침해 정황까지 확인되면서 개인정보 유출 우려가 한층 심각해지고 있다.

더욱 충격적인 것은 불과 몇 달 전 정부의 점검에서는 발견되지 않았던 해킹 흔적이 뒤늦게 드러났다는 점이다. 정부와 통신업계가 우려했던 최악의 시나리오가 현실이 되는 순간이다.

불과 몇 시간 만에 바뀐 해명

KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다.

이는 소액결제 사태 관련 브리핑에서 “유심정보 인증키는 유출되지 않았고 복제폰 생성 가능성도 없다”고 강조한 지 불과 몇 시간 만에 나온 발표다.

KT 측은 SK텔레콤 해킹 사고 발생 이후 전사 서버 점검을 위해 외부 보안전문 기업에 의뢰해 약 4개월(5월~9월 15일)간 조사를 진행했으며, 그 결과 이 같은 사실을 확인했다고 설명했다.

구재형 KT 네트워크기술본부장은 “서버 점검은 별도 진행 과제로 소액결제와 상호 연결성이 없어 브리핑 전에 이 사실을 아는 상황은 아니었다”고 해명했다. 하지만 이로 인해 인증키 유출 가능성 등을 완전히 배제할 수 없는 상황이 됐다.

정부 점검의 한계 드러나

이번 침해 정황 발견은 기존 정부 점검의 한계를 여실히 드러냈다.

과학기술정보통신부는 이미 SK텔레콤 해킹사고 이후인 5월에 KT와 LG유플러스를 비롯한 주요 플랫폼사의 보안 상황을 점검했고, 8월에는 “특이사항이 발견되지 않았다”고 발표한 바 있다. 그럼에도 KT가 자체 조사를 통해 침해 흔적을 발견한 것이다.

류제명 과기정통부 제2차관은 합동 브리핑에서 “SK텔레콤에서 발견된 악성코드를 중심으로 조사했으나, 전면적으로 조사할 물리적 여건과 상황이 안 됐다”고 해명했다.

이동근 KISA 디지털위협대응본부장 역시 침투 서버에 대해 “세부 분석에 들어가야 해서 지금 말하기 어렵다”고만 답했다. 이러한 상황은 정부의 보안 점검 방식이 한계에 봉착했음을 보여준다.

정부, 합동 대응책 마련

잇따른 해킹 사고의 심각성을 인지한 정부는 결국 범부처 합동 대응체계를 가동했다. 과학기술정보통신부와 금융위원회는 19일 정부서울청사에서 해킹 대응 합동 브리핑을 개최하고 강화된 대책을 발표했다.

류제명 차관은 “정부는 국민 생활에 밀접한 통신, 금융 등을 대상으로 하는 침해 사고로 인한 피해 상황을 엄중히 받아들이고 있다”며 위기감을 표명했다.

이에 따라 정부는 침해 사고 지연 신고나 미신고 기업에 대한 과태료를 강화하고, 사고 발생 시 피해 규모에 상응하는 징벌적 과징금 도입을 추진하기로 했다.

또한 보안 거버넌스 체제 개선을 위해 기업 내 최고정보보호책임자(CISO) 권한 강화도 유도할 방침이다.

염흥열 순천향대 정보보호학과 교수는 “통신사의 정보보안 체계가 부족한 면이 많다”며 “통신사들이 협의체를 구성해 공동으로 위협에 대응할 수 있는 체계 구축이 필요하다”고 제언했다.