KT ‘펨토셀’ 자동차단 기능 없어… 당국 “복제폰 가능성 조사”

세계일보

국회 과방위, 해킹사태 청문회

롯데카드·MBK 등 한목소리 질타
“회수 안 된 기지국, 해커 악용 우려”
여야 모두 위약금 면제조치 촉구
배상 책임 축소 의혹엔 ‘행정지도’
김영섭 KT대표, 사퇴 즉답 피해

롯데카드 정보유출 늑장신고 도마
조좌진 “재발급 지연 주말쯤 해소”

24일 국회에서 열린 ‘KT·롯데카드 해킹사태’ 청문회에서 여야 의원들은 한목소리로 최근 KT와 롯데카드에서 발생한 대규모 해킹사태를 두고 관리 소홀을 질타하는 한편, 늑장보고·축소 등 은폐 의혹을 집중 추궁했다. 주무부서인 과학기술정보통신부는 이와 관련해 고의성이 확인될 경우 경찰 수사 의뢰 등 강력한 조치를 하겠다고 했다. 조좌진 롯데카드 대표는 사태 수습 이후 사임 의사를 밝힌 반면, 김영섭 KT 대표는 관리부실의 책임을 인정하면서도 사퇴 요구에는 즉답을 피했다.

김 대표는 이날 국회 과학기술정보방송통신위원회(과방위)의 KT·롯데카드 해킹사태 청문회에 증인으로 출석해 “소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다”고 인정하며 “사고 이후 (불법 펨토셀이) 망에 붙지 못하게 조치했다”고 밝혔다.

김영섭 KT 대표이사가 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 대규모 해킹사고(통신·금융) 관련 청문회에 출석해 있다. 뉴스1

펨토셀은 초소형 기지국을 의미한다. 이번 사건은 KT의 펨토셀이 해킹당하면서 발생한 것으로 드러났다. 펨토셀의 보안 취약점을 노린 해커들이 ARS 본인인증 절차를 우회해 소액결제를 무단으로 진행한 것이다.

조국혁신당 이해민 의원에 따르면 KT는 통신 3사 중 펨토셀을 가장 많이 보급했지만 미사용 장비 자동 차단 등 기본적인 관리 체계가 없는 것으로 드러났다. SKT와 LG유플러스는 펨토셀 미사용이 장기화하거나 일정 거리 이상을 이동하게 되면 자동 탐지 뒤 해당 기기를 차단하고 일정 기간 후 장비 고유값을 삭제하는 등의 조치를 하고 있다.

이 의원은 “KT는 고객 연락에만 의존해 펨토셀 회수를 진행하고 있다”며 방치된 펨토셀이 해커의 불법 장비로 악용됐을 가능성이 높다고 지적했다.

KT 펨토셀 유효 인증 기간이 10년으로 설정된 점도 관리부실 요소로 지적됐다. 더불어민주당 황정아 의원이 KT가 ARS 인증만을 토대로 피해 규모를 소극적으로 조사하고 있다고 지적하자 김 대표는 “분석에 시간이 걸려 일단 ARS 기반으로 분석한 것이고 SMS 등 전체 인증에 관한 데이터를 분석하고 있다”며 피해 규모 파악 확대 방침을 밝혔다.

**목 타는 조좌진 롯데카드 대표** 조좌진 롯데카드 대표이사가 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 ‘KT·롯데카드 해킹사태’ 청문회에 출석해 물을 들이켜고 있다. 왼쪽부터 윤종하 MBK파트너스 부회장, 조 대표이사, 김영섭 KT 대표이사. 이재문 기자

정부는 KT 해킹과 관련 2차 피해를 막기 위해 모든 가능성을 열어놓고 조사하겠다고 밝혔다. 류제명 과학기술정보통신부 2차관은 “KT가 복제폰 생성을 위한 주요 개인정보가 해킹으로 유출되지 않았다고 주장하지만 위험성이 있지 않으냐”는 국민의힘 박정훈 의원 질의에 “그런 부분까지 면밀히 보겠다”고 대답했다.

여야 의원들은 적극적인 피해자 구제와 위약금 면제 조치를 촉구했다. 김 대표는 위약금 면제를 검토하느냐는 질의에 “정보 유출까지 피해가 발생한 고객 2만30명에게는 적극적으로 검토한다”고 답했고, 류 차관은 “이번 사태에서 KT가 안전한 통신 제공의 의무를 위반했다면 당연히 위약금 면제 조치가 이루어져야 한다”고 말했다. KT가 해킹 사고를 신고한 날 전자서명 인증 약관을 바꿔 고객 배상 책임을 축소하려 했다는 의혹과 관련해서도 “소비자에게 유리한 방향으로 고치도록 행정 지도하겠다”고 강조했다.

김 대표는 그를 비롯한 임원들의 사퇴 요구에 대해선 “사태 해결이 우선”이라며 즉답을 피했다.

297만명의 개인정보가 유출된 롯데카드 사태를 두고도 질책이 이어졌다. 롯데카드는 지난 8월26일 악성코드 감염을 최초 확인했지만 6일이 지난 9월1일에야 금융당국에 사이버 침해사고 신고를 하면서 사건 축소·은폐 의혹이 제기되고 있다.

조 대표는 이에 대해 “침해행위만으로는 보고 의무가 없다”고 해명했다. 그는 “신고를 할 수 없다기보다 전자금융거래법은 침해행위와 침해사고를 구분하고 있다”며 “침해행위에 의해서 시스템이 교란되거나 마비되어야 사고가 된다”고 덧붙였다. 롯데카드 재발급이 지연되고 있다는 지적에 대해선 “재발급 신청하신 분이 100만명 정도 밀려 있는데 이번 주말 정도까지는 대부분 해소가 될 것”이라고 전했다.

롯데카드의 대주주인 MBK파트너스도 도마 위에 올랐다. 윤종하 MBK파트너스 부회장은 “올해도 롯데카드를 매각할 과정에 있는 것 아니냐”는 질문에 “그렇다”고 답했다. 그는 매각을 추진하는 데 5년간 1100억원을 투자하겠다는 것을 믿을 수 있냐는 질문에 “금융 보안은 핵심가치”라고 강조했다.