무단 소액결제 사건에 연루된 KT의 서버 침해 정황이 확인됐다. 피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다. KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 정황을 신고했다고 밝혔다. 회사 측은 서버 침해 흔적 4건과 의심 정황 2건을 확인해 신고했으며, 이번 사실은 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안 전문 기업에 의뢰해 약 4개월간 전사 서버를 조사하는 과정에서 드러났다고 설명했다. 다만 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다. KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다. 특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마에 오른다. 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월15일 14시로 명시했다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있는데 사흘 뒤에야 당국에 신고한 것이다. 구재형 KT 네트워크기술본부장은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 최고보안책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족을 이유로 들었다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다. 이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다. 피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다. 무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다. 구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 “그렇다”면서도 서버에서 유출된 정보에 대해선 “어제 밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다”고 말했다. KT는 최근 미국 보안 전문지 ‘프랙’이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다. 류제명 과기정통부 2차관은 “추가 피해 가능성을 낮게 본다”면서도 “전혀 없다고 단정하긴 어렵다”고 말했다. 한편 과기부와 금융위는 이날 합동 브리핑을 열고 사태의 엄중함을 강조하며 해킹 사고의 근본 대책을 마련하겠다고 밝혔다. 류제명 과기부 2차관은 “민관합동조사단이 KT 무단 소액결제 사태의 원인을 신속·철저히 규명하고 결과를 투명하게 공개하겠다”고 밝혔다. 조사단은 해커가 불법 초소형 기지국을 통해 KT 내부망에 어떻게 접속했는지, 개인정보는 어떤 경로로 확보했는지를 집중 조사 중이다. 류 차관은 “과기부는 현행 보안 체계를 원점에서 재검토해 임시방편 대응이 아닌 근본적 대책을 마련할 것”이라며 “기업이 침해 사실을 고의 지연 신고하거나 미신고할 경우 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 없이도 철저히 조사할 수 있도록 제도를 개선하겠다”고 강조했다. 금융위도 금융권 해킹 대응 체계를 전면 강화하겠다고 밝혔다. 권대영 금융위 부위원장은 “롯데카드 조사 과정에서 당초 신고보다 큰 규모의 유출이 확인됐다”며 “소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리하겠다”고 말했다. 그는 “보안 투자를 불필요한 비용으로 여기는 금융권의 안이한 자세를 반성해야 한다”며 “금융사 CEO 책임 하에 전산 시스템과 보안 체계를 긴급 점검하고, 징벌적 과징금과 CISO 권한 강화 등 제도 개선에 즉시 착수하겠다”고 밝혔다. 그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다. 류 차관은 “국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중”이라며 “종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다”고 했다.