세계일보

KT 무단 소액결제 사건으로 국민 우려가 커지는 가운데, 13년 전 초소형 기지국(펨토셀)의 보안 취약성에 대한 경고가 있었던 것으로 드러났다. 정부는 개인정보 보호를 최고경영자(CEO)의 책임으로 명확히 하고 관련 점검을 강화하기로 했다.

23일 국회 과학기술정보통신위원회 소속 국민의힘 이상휘 의원에 따르면 한국인터넷진흥원(KISA)은 2012년 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’를 수행했다. 연구 보고서에 담긴 29가지 위협 중에는 이번 KT 소액결제 피해의 원인으로 지목되는 사용자의 인증토큰 복제, 통신을 주고받는 두 주체 사이에 공격자가 몰래 개입하여 정보를 가로채거나 조작하는 중간자(MITM) 공격 가능성도 포함돼 있었다. 다만 연구 성과가 실제 보안 대책으로 이어졌는지는 확인되지 않았다.

KT가 이미 피해 징후가 있었지만, 즉각 대응에 나서지 않았다는 지적도 제기됐다. 국회 과방위 소속 국민의힘 박정훈 의원이 KT로부터 제출받은 자료를 보면 KT 고객센터에 지난달 27일부터 이달 2일까지 총 6건의 소액결제 피해신고가 들어왔다. 최초 신고는 지난달 27일 오전 9시11분이었지만, KT는 경찰이 이달 1∼2일 소액결제 피해사례를 분석해 달라는 의뢰를 받은 뒤에야 이들 민원 6건에서 비정상 결제가 이뤄진 사실을 파악했다. 피해 신고가 접수되고 소액결제 차단 조치를 취하기까지는 닷새 이상 소요됐다.

경찰이 파악한 KT 무단 소액결제 피해 사건 피해 사례도 점차 늘고 있다. 경기남부경찰청에 따르면 지난 22일 오후 6시 기준 KT 소액결제 피해자는 214명, 피해액은 1억3650여만원으로 18일(200명·1억2790여만원)보다 14건 늘어났다.

아울러 불법 펨토셀을 차량에 싣고 다니며 범행한 중국인 A(48)씨는 경찰 조사에서 “신호가 잘 잡히는 새벽 시간대에 돌아다니라는 지시를 받았다”고 진술해 경찰이 불법 장비 운용을 규명하는 데 속도가 붙을 것으로 보인다.

과학기술정보통신부는 이날 서울 송파구 한국정보보호산업협회에서 국내 주요 기업 정보보호최고책임자(CISO)를 대상으로 긴급 보안점검 회의를 열고 각 기업의 정보보호 체계를 살폈다. 회의를 주재한 류제명 과기정통부 제2차관은 각 기업에 대해 자사의 주요 정보자산을 명확히 파악하고 이에 대한 취약점 분석 등 자체 보안 점검을 철저하고 신속하게 실시하여 과기정통부에 회신할 것을 요구했다. 당국은 특히 정보보호가 CEO가 직접 책임지는 사안으로 관리되고 있는지, CISO가 충분한 권한을 보장받고 있는지, 이사회와 경영진이 보안 업무에 적극 관여하는지를 집중 점검한 것으로 전해졌다.

최우석·박세준 기자, 수원=오상도 기자 기자페이지 바로가기

Copyright ⓒ 세계일보. 무단 전재 및 재배포 금지