해킹 사고가 발생한 롯데카드가 롯데 계열사로 오인돼 브랜드 가치가 심각하게 훼손됐다며 롯데그룹이 강력히 항의하고 나섰다. 21일 롯데는 “롯데카드 해킹 사태로 인한 브랜드 가치 훼손과 고객 신뢰도 추락 등 막대한 피해를 보았다”며 “롯데카드에 강력히 항의하고 고객 피해 최소화를 위한 신속한 조치를 요구했다”고 밝혔다. 롯데카드의 대주주는 MBK파트너스로, ‘롯데’ 브랜드를 사용하고 있지만 그룹과는 별도로 운영되고 있다. 롯데는 2017년 지주사 체제 전환 이후 금융·보험업 지분 보유가 불가능해져 2019년 롯데카드를 MBK파트너스에 매각했다. 다만 상당수 고객이 여전히 롯데카드를 그룹 계열사로 인식하고 있어 롯데는 회복이 어려운 유무형의 피해를 보고 있다고 주장했다. 롯데는 “롯데카드 고객 이탈이 늘어나게 되면 협력 관계를 맺고 있는 롯데 사업장에서의 매출 감소도 불가피하며 무엇보다 롯데카드를 롯데 계열사로 오인하는 고객들이 느끼는 신뢰 하락이 뼈아프다”고 지적했다. 롯데카드가 그룹 임직원 전용 카드 발급도 맡아와 이번 사고로 일부 임직원 개인정보도 유출됐다. 롯데카드는 지난 18일 ‘사이버 침해사고에 대한 대표이사 사과’라는 제목의 공문을 그룹에 전달하며 사과의 뜻을 밝혔다. 조좌진 롯데카드 대표이사는 공문에서 “롯데그룹과 임직원들에게 심려를 끼쳐드린 점에 대해 깊이 사과드린다”며 “사고로 인한 혼잡이 종료될 때까지 대표이사로서 끝까지 직접 챙기겠다”고 약속했다.

금융당국이 롯데카드 해킹 사고와 관련해 현장검사를 연장했다. 피해 고객들 사이에서는 집단소송 움직임도 확산하고 있다. 19일 금융권에 따르면 금융감독원은 당초 이날 종료 예정이던 롯데카드 현장검사를 연장하기로 했다. 1차 검사에서 고객정보 유출 규모를 확정한 데 이어, 2차 검사에서는 보안 취약점과 법 위반 여부를 집중 점검 중이다. 검사 결과는 제재심의위원회 안건으로 상정돼 기관 제재 수위에 반영된다. 금융위와 금감원은 이번 사고를 “중대한 위법”으로 규정했다. 금융위 관계자는 “허술한 보안체계에 대해 강도 높은 책임을 물을 예정”이라며 최고 수위 제재를 예고했다. 업계에선 기관 경고 이상 중징계와 일부 영업정지, 임원 해임 권고 가능성이 거론된다. 사고 경위는 늑장 대응 논란을 낳았다. 해킹은 지난달 14일 발생했으나 롯데카드가 서버 이상을 인지한 것은 같은 달 26일이었다. 당국 신고는 9월 1일에야 이뤄졌고, 공식 발표는 지난 18일로 해킹 발생 후 37일이나 지나서였다. 피해 규모는 297만명에 달한다. 이 중 28만명은 카드번호·유효기간·보안코드(CVC)까지 유출돼 부정사용 위험이 크다. 나머지 269만명은 CI값, 내부식별번호 등 부차적 정보가 유출됐다. 롯데카드는 아직 실제 부정사용 사례는 확인되지 않았다고 설명했다. 피해 고객들의 집단소송 움직임도 커지고 있다. 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’ 회원 수는 1300명을 넘어섰고, 이 중 700명 이상이 소송 참여 의사를 밝혔다. 과거 카드사 유출 사건에서 1인당 7만~10만원 수준의 배상 판례가 있었던 만큼 이번에도 대규모 배상 책임이 예상된다. 이번 사태로 보안 인증 제도의 실효성 논란까지 나오고 있다. 롯데카드는 지난달 12일 금융보안원으로부터 최고 수준 보안 인증인 ISMS-P를 받았지만, 같은 날 첫 해킹 시도가 이뤄졌기 때문이다. 금융권 안팎에선 “인증 제도를 근본적으로 손봐야 한다”는 목소리가 커지고 있다. 조좌진 롯데카드 대표는 “피해액 전액을 보상하겠다”며 사임 가능성까지 언급했지만, 여론은 가라앉지 않고 있다. 금융권 관계자는 “개별 회사 차원을 넘어 금융권 전반의 신뢰를 흔드는 사안인 만큼 제재 수위가 높아질 수밖에 없다”고 말했다.

무단 소액결제 사건에 연루된 KT의 서버 침해 정황이 확인됐다. 피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다. KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 정황을 신고했다고 밝혔다. 회사 측은 서버 침해 흔적 4건과 의심 정황 2건을 확인해 신고했으며, 이번 사실은 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안 전문 기업에 의뢰해 약 4개월간 전사 서버를 조사하는 과정에서 드러났다고 설명했다. 다만 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다. KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다. 특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마에 오른다. 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월15일 14시로 명시했다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있는데 사흘 뒤에야 당국에 신고한 것이다. 구재형 KT 네트워크기술본부장은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 최고보안책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족을 이유로 들었다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다. 이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다. 피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다. 무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다. 구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 “그렇다”면서도 서버에서 유출된 정보에 대해선 “어제 밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다”고 말했다. KT는 최근 미국 보안 전문지 ‘프랙’이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다. 류제명 과기정통부 2차관은 “추가 피해 가능성을 낮게 본다”면서도 “전혀 없다고 단정하긴 어렵다”고 말했다. 한편 과기부와 금융위는 이날 합동 브리핑을 열고 사태의 엄중함을 강조하며 해킹 사고의 근본 대책을 마련하겠다고 밝혔다. 류제명 과기부 2차관은 “민관합동조사단이 KT 무단 소액결제 사태의 원인을 신속·철저히 규명하고 결과를 투명하게 공개하겠다”고 밝혔다. 조사단은 해커가 불법 초소형 기지국을 통해 KT 내부망에 어떻게 접속했는지, 개인정보는 어떤 경로로 확보했는지를 집중 조사 중이다. 류 차관은 “과기부는 현행 보안 체계를 원점에서 재검토해 임시방편 대응이 아닌 근본적 대책을 마련할 것”이라며 “기업이 침해 사실을 고의 지연 신고하거나 미신고할 경우 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 없이도 철저히 조사할 수 있도록 제도를 개선하겠다”고 강조했다. 금융위도 금융권 해킹 대응 체계를 전면 강화하겠다고 밝혔다. 권대영 금융위 부위원장은 “롯데카드 조사 과정에서 당초 신고보다 큰 규모의 유출이 확인됐다”며 “소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리하겠다”고 말했다. 그는 “보안 투자를 불필요한 비용으로 여기는 금융권의 안이한 자세를 반성해야 한다”며 “금융사 CEO 책임 하에 전산 시스템과 보안 체계를 긴급 점검하고, 징벌적 과징금과 CISO 권한 강화 등 제도 개선에 즉시 착수하겠다”고 밝혔다. 그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다. 류 차관은 “국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중”이라며 “종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다”고 했다.

외부 해킹 공격으로 롯데카드 고객 297만명의 정보가 유출된 것으로 확인됐다. 롯데카드는 약 960만명의 회원을 보유한 업계 5위권 카드회사로, 전체의 3분의1에 가까운 회원 정보가 유출된 셈이다. 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 28만명에 이른다. 처음 해킹 사고가 발생한 것은 지난달 14일이었으나 롯데카드는 지난 1일에야 해킹 공격으로 1.7GB 규모의 데이터가 유출됐다고 금융당국에 신고했다. 조사 결과 실제 유출 규모는 이보다 훨씬 컸다. 지난 4월 SK텔레콤의 대규모 유심 정보 유출 사고에다 최근 KT와 LG유플러스의 보안 사고까지 잇따랐다. 줄줄이 터진 어처구니없는 보안 사고들로 국내 굴지의 기업들의 정보보안 체계가 얼마나 허술한지 적나라하게 드러났다. 뚜렷한 대응책도 없이 국민만 고스란히 피해에 노출돼 있다. 기업들이 비용을 아끼려고 보안 투자를 소홀히 한 것은 아닌지부터 돌아봐야 한다. 특히 롯데카드는 2019년 롯데그룹이 지주사 체제로 전환하는 과정에서 금산분리 정책에 따라 사모펀드인 MBK파트너스에 매각됐다. 이후 MBK는 수익 극대화에 치중하면서 2022년 3조원에 팔겠다고 내놨다가 지난 5월에는 다시 2조원으로 희망 가격을 낮췄는데도 매각이 성사되지 않았다. 돈벌이에만 정신이 팔려 보안 투자는 뒷전이 아니었는지 궁금해진다. 롯데카드 측은 앞으로 5년 동안 1100억원을 들여 자체 보안 관제 체계를 구축하기로 했으나 곧이곧대로 믿을 국민은 별로 없을 성싶다. 어제 이재명 대통령이 나서 “기업의 책임을 묻는 것도 필요하지만 갈수록 진화하는 해킹 범죄에 맞서 범정부 차원의 체계적 보안 대책을 서둘러야 한다”며 종합대책 마련을 지시했다. 기업들에 사후 책임을 따지는 일이 능사가 아니라 보안 체계에 대한 대대적 수술이 시급해졌다. 보안 투자에 대한 세제 혜택 확대 등 보안 강화를 유인할 수 있는 정책이 적극 검토돼야 한다.

신세계그룹 G마켓과 중국 알리바바그룹 알리익스프레스코리아의 합작법인이 공정거래위원회 승인을 받고 공식 출범한다. 다수 판매자를 보유한 G마켓과 글로벌 네트워크가 있는 알리바바가 손잡게 되면서 쿠팡·네이버 양강 구도인 국내 온라인 유통 시장에 어떤 파급력을 미칠지 주목된다. 공정위는 18일 한국 신세계그룹과 중국 알리바바인터내셔널이 5대 5로 출자한 합작법인 ‘그랜드오푸스홀딩’의 설립을 조건부로 승인했다. 합작법인은 G마켓과 알리익스프레스코리아를 지배한다. 공정위는 해외 직구를 뺀 온라인 유통 시장에서 양사 결합 전후 시장점유율의 변화가 낮아 경쟁을 제한할 우려는 미미하다고 판단했다. 다만 공정위는 개인정보 보호와 데이터 보안이 필요하다는 이유로 ▲G마켓과 알리익스프레스의 상호 독립적 운영 ▲국내 소비자 정보의 기술적 분리 ▲국내 온라인 해외직구 시장에서 상대방의 소비자 데이터 이용 금지 등을 합작법인 설립 승인의 조건으로 내걸었다. 양사의 동맹 구축은 경쟁력 회복이 시급한 G마켓과 저가·저품질 이미지를 벗고자 하는 알리익스프레스의 이해관계가 맞물린 결과다. 이날 공정위 승인 후 신세계와 알리바바는 곧바로 합작법인 조직 구성과 이사회 개최, 사업 계획 수립 등을 위한 실무 작업에 돌입했다. 양사는 “한국 판매자의 글로벌 진출을 적극 지원해 우수한 한국 상품의 해외 판매를 늘리고, 고객에게는 상품 선택의 폭을 크게 늘리겠다”고 발표했다. G마켓에 등록된 약 60만 판매자들은 연내에 2000만종의 상품을 알리바바의 플랫폼을 통해 해외에 판매할 수 있게 된다. 첫 진출 지역은 싱가포르, 베트남 등 동남아 5개국이다. G마켓 판매자는 알리익스프레스의 한국 상품 코너에도 입점할 예정이다. 알리익스프레스는 지식재산권 보호를 더 강화하고 한국 내 상품 가짓수를 확대한다. 신세계그룹이 거대 중국 자본과 손잡으면서 국내 온라인 유통시장에서 전국 로켓배송망을 구축 중인 쿠팡, 최근 컬리와 손잡고 신선식품을 강화한 네이버 간 3파전이 펼쳐질 전망이다.

롯데카드에서 297만명의 고객 정보가 유출된 것으로 확인됐다. 조좌진 롯데카드 대표는 이날 서울 중구 부영태평빌딩에서 기자회견을 열고 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”며 이같이 밝혔다. 롯데카드는 약 960만명의 회원을 보유한 업계 5위권 카드회사로, 전체의 약 3분의 1에 가까운 회원 정보가 유출된 셈이다. 조 대표는 “전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명”이라며 “유출 정보 범위는 카드번호, 유효기간, CVC번호(카드 뒷면 3자리 보안코드) 등”이라고 말했다. 이들의 경우 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있다고 했다. 이어 “해당 고객은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객”이라며 “카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다”고 말했다. 나머지 269만명의 유출 정보는 ▲온라인 상 본인 확인에 쓰이는 연계 정보(CI) ▲ 내부식별번호 ▲가상 결제코드 ▲간편결제 서비스 종류 등이다. 조 대표는 “나머지 269만명은 일부 항목만 제한적으로 유출됐다”며 “해당 정보만으로 카드 부정사용이 발생할 가능성은 없다”고 말했다. 그러면서 “정보 유출은 온라인 결제 서버에 국한해 발생했고, 오프라인 결제와는 전혀 무관하다”며 “고객 성명도 유출되지 않았다”고 설명했다. 롯데카드는 현재까지 실제 부정 사용 사례는 확인되지 않았다고 설명했다. 회사는 전체 유출 고객을 대상으로 연말까지 무이자 10개월 할부, 거래 알림 서비스 무료 제공, 금융피해 보상 서비스 지원을 약속했다. 특히 28만명은 카드 재발급을 우선 추진하고 차년도 연회비를 전액 면제하기로 했다. 조 대표가 이날 직접 언급한 연회비 면제 비용만 최소 56억원에 달한다. 그는 “발생 가능한 2차 피해까지 포함해 전액 보상하겠다”며 “고객 피해 ‘제로화’를 최우선 과제로 삼겠다”고 강조했다. 금융위원회는 이날 긴급 대책회의를 열고 이번 사고를 “중대한 위법”으로 규정했다. “사실관계를 신속히 확정한 뒤 법 위반 사항에 대해 엄정히 조치하겠다”고 했다. 현행 여신전문금융업법상 개인정보 유출로 신용질서를 어지럽힌 경우 최대 6개월 영업정지와 수백억원대 과징금이 가능하다.

KT 휴대전화 소액결제 해킹 사건의 피의자가 “시키는 대로 했다”고 털어놓으면서 배후 세력이 있다는 의혹이 커지는 가운데 피의자 2명에 대한 구속영장이 발부됐다. 수원지법 안산지원(부장 정진욱)은 18일 정보통신망법 위반과 컴퓨터 사용 사기 등 혐의를 받는 중국 국적 A(48)씨와 B(44)씨에 대한 구속 전 피의자 심문(영장실질심사)에서 “도망의 염려가 있다”며 구속영장을 발부했다. 이날 오전 영장실질심사를 위해 수원지법 안산지원에 도착한 A씨는 “피해자 개인정보를 어떻게 알았나”는 질문에 “시키는 대로 했다”고 짧게 말했다. “누구 지시를 받았느냐”는 물음에도 “모른다”는 답을 반복했다. 전날 조사에서는 “중국에 있는 윗선 C씨의 지시를 받았다”고 진술한 것으로 알려졌다. 범죄수익을 현금화한 B씨도 취재진에 “시키는 대로 했다”고 말했다. 경찰은 A씨의 진술에 따라 ‘윗선’의 실체를 추적하고 있다. A씨가 지목한 C씨의 신원을 확인 중이지만, 사기범죄 특성상 이름·나이·국적 등이 실제일 가능성은 낮다는 게 경찰의 판단이다. 경찰은 통신사 근무 이력이나 전문적 기술 배경이 없는 A씨가 단독으로 범행을 저질렀을 가능성은 낮다고 보고, 조직적 배후 연계 여부를 집중 수사하고 있다. 수사 결과에 따르면 A씨는 불법 초소형 기지국(펨토셀) 장비를 승합차에 싣고 경기 광명과 서울 금천 일대를 오가며 KT 이용자들의 휴대전화를 해킹한 것으로 조사됐다. 이번 사건은 알려진 지 12일 만인 지난 16일 A씨와 B씨가 각각 인천국제공항과 서울 영등포구에서 잇달아 검거되면서 수사가 급물살을 탔다. 경찰이 집계한 피해 건수는 15일 기준 199건, 피해액은 1억 2000여만원이다. 그러나 KT가 자체 파악한 피해 규모는 362건, 2억 4000여만원으로 더 많은 것으로 집계돼 추가 피해 확인 가능성도 있다. 불법 펨토셀 아이디는 4개로 늘었고, 가입자 고유번호(IMSI)뿐 아니라 단말기 식별번호(IMEI)와 전화번호까지 유출된 정황도 드러났다. KT는 고객 보호 조치로 소액결제 보상과 무료 유심 교체를 실시하고, 3년간 ‘안전안심보험’을 무상 제공하기로 했다.

KT 무단 소액결제 사건의 피의자로 중국 국적의 남성 2명이 체포됐으나, 경찰은 이번 사건을 이끈 주범이 중국에 따로 있는 것으로 보고 수사를 확대했다. 18일 수원지법 안산지원은 정보통신망법 위반 및 컴퓨터 등 사용 사기 혐의로 A씨(48·중국 국적)와 B씨(44·중국 국적)에 대한 구속 전 피의자 심문(영장실질심사)을 실시했다. 지난 16일 체포된 이들은 당초 사건 주범으로 알려져 있었으나, 경찰 조사에서 A씨는 “중국에 있는 윗선의 지시를 받고 범행했다”고 주장했다. 경찰이 ‘윗선’에 관해 묻자 A씨는 자신이 알고 있는 ‘윗선’의 개인 정보를 진술했으며 최근 중국에서 만난 적이 있다고 말한 것으로 알려졌다. 경찰은 A씨의 진술과 여러 증거 등을 종합할 때 이 사건의 진짜 주범이 중국에 있는 것으로 보고 있다. 특히 국내에서 일용직 근로자로 생계를 이어온 A씨가 불법 소형 기지국 장비를 차량에 싣고 수도권 일대를 다니며 피해자들의 휴대전화 개인 정보를 무단으로 탈취하고 소액 결제를 저질렀다는 점 역시 그가 핵심 주범이 아닐 가능성을 암시한다. 다만 A씨의 진술이 사실이라 할지라도 범행 특성상 ‘윗선’으로 지목된 사람이 A씨에게 자신의 이름과 나이, 국적 등 개인정보를 밝혔을 가능성은 작다. 또 A씨가 윗선의 존재를 암시하면서도 그에 대한 정보를 알지 못한다고 했던 이전 주장과 달라진 점 등도 수사의 변수로 꼽힌다. 앞서 체포된 A씨와 B씨는 구속심사 직전 경찰 조사에서 “시키는 대로 했다”면서 “(지시는 누가 내렸는지) 모르지만 시키는 대로 했을 뿐”이라고 주장했다. 경찰은 A씨의 진술대로라면 이번 범죄가 점조직 형태 또는 거대 조직으로부터 시작됐을 가능성도 있어 피해 규모가 현재 밝혀진 것보다 더 클 수 있다고 보고 있다. 현재 경찰은 A씨와 B씨의 진술을 토대로 수사를 이어가고 있으나, A씨 차량에서 발견돼 증거물로 확보한 불법 펨토셀 장비 이외 별다른 증거가 없어 수사의 난항이 예상된다. A 씨는 지난 8월 27일부터 최근까지 불법 펨토셀 장비를 자신의 차량에 싣고 다니면서 수도권 서부지역 일대에서 KT 가입자들의 휴대전화 정보를 탈취하고 이를 악용해 교통카드 충전, 모바일 상품권 등의 소액 결제를 통해 금전을 무단 탈취한 혐의를 받고 있다. B씨는 A씨가 소액 결제한 상품권 등을 현금화한 혐의를 받는다. 한편 KT는 18일 브리핑을 통해 “소액결제 피해 관련 최초 침해 및 개인정보 유출 발표 이후 침해 정황을 확인하고 보호 조치를 이행했다”며 “피해 고객 수는 애초 278명에서 362명으로, 누적 피해 금액은 2억 4000만원으로 집계됐다”고 발표했다. 이어 “피해 정황이 추가로 확인된 고객에게도 소액 결제 금액을 고객이 부담하지 않도록 조치 중”이라며 “무료 유심 교체와 유심 보호 서비스 가입도 지원한다”고 밝혔다. 또 “추가로 확인된 피해 정황에 대해 개인정보보호위원회에 18일 보완 신고를 마쳤고, 해당 고객을 대상으로 신고 사실과 피해 사실 여부 조회 기능, 유심 교체 신청 및 보호 서비스 가입 링크 등에 대해 개벌 안내 중”이라고 설명했다.

아동·청소년을 협박해 성 착취물을 제작하고 이러한 영상물을 판매한 것도 모자라 여성 연예인 얼굴 사진을 불상의 여성 사진과 합성한 영상물 등 160개의 허위 영상물을 소지한 20대에게 검찰이 중형을 구형했다. 18일 법조계에 따르면 최근 수원지법 형사11부(부장 송병훈) 심리로 진행된 A(20대)씨에 대한 아동청소년보호법 위반(성착취물제작 등), 영리목적성착취물판매 등 혐의 사건 결심공판에서 검찰이 징역 30년 및 취업제한 및 전자장치부착 명령 각 10년을 선고해달라고 재판부에 요청했다. 검찰은 “피고인은 성범죄를 목적으로 수집한 개인정보로 피해자들에게 접근해 유사성행위를 하도록 하고 이를 촬영해 성 착취물을 제작했다”며 “피해자별로 이를 정리해 저장하기도 하는 등 범행 수법이 지극히 불량하다”고 지적했다. 이어 “피해자들은 몸과 마음에 회복 불가능한 충격을 입었음에도 피고인은 비협조적인 태도로 일관했으며 적법한 수사를 불법이라 매도하는 등 죄의식을 찾아보기 어렵다”며 “앞으로도 불특정 다수를 표적으로 삼아 성범죄를 저지를 재범 가능성이 높다”고 비판했다. A씨 측 변호인은 “수사기관의 압수수색 영장 집행의 위법성에 대해서는 이미 준항고가 기각됐지만 피고인 방어권 보장의 취지로 반드시 압수수색 영장을 교부해야 한다. 이 부분 다시 한번 살펴봐 달라”고 호소했다. 앞서 A씨는 지난해 8월 당시 14세인 피해자 B양에게 접근해 텔레그램 대화방에 접속하지 않으면 B양의 신체 촬영물을 유포할 것처럼 협박한 뒤 피해자에게 신체 등을 사진과 영상으로 촬영하도록 하고 52개 성 착취물을 전송받은 혐의를 받는다. 그는 B양을 ‘노예’라고 지칭하며 자신의 지시를 따르지 않을 경우 이름과 학교 등 신상정보와 함께 신체 촬영물을 유포하겠다고 협박한 것으로 파악됐다. 또한 A씨는 10대 C양의 정보를 이용해 ‘변태 여성’이라는 취지의 허위 글을 게시한 뒤 이를 알게 된 C양을 협박해 피해자로부터 신체 부위를 촬영한 사진을 전송받은 것으로 조사됐다. 이 같은 수법으로 A씨가 제작한 성 착취물은 100여건에 달했으며, 피해자는 대부분 10대로 15명(미수 사건 포함)인 것으로 파악됐다. 이외에도 A씨는 여성 연예인 얼굴 사진을 불상의 여성 사진과 합성한 영상물 등 160개의 허위 영상물을 소지한 것으로 드러났다. 그는 “아동·청소년 성 착취물을 구매하고 있다”는 요청을 받고 성 착취물을 성명불상자들에게 23회에 걸쳐 47만원을 받고 판매한 혐의도 받는다. 검찰은 A씨가 텔레그램 그룹대화방을 여러 개 운영하면서 스스로를 ‘대장’ 또는 ‘단장’이라고 칭하며 성 착취물 또는 허위 영상물을 제작하거나 유포하고 신상정보를 공개하는 등의 범행을 계획한 것으로 파악했다. A씨의 선고 재판은 다음 달 1일 오후 2시 진행된다.

카드사 고객센터 직원들이 고객의 결제 내역을 몰래 확인한 뒤 조롱하는 대화를 나눈 사실이 드러나 파문이 일고 있다. 17일 JTBC ‘사건반장’은 30대 여성 A씨로부터 받은 제보 내용을 보도했다. A씨는 지난 8일 한 신용카드사로부터 걸려온 전화를 받지 못했는데, 이후 확인한 음성사서함에는 직원들의 대화가 고스란히 녹음돼 있었다. 직원들은 “동전노래방에 갔다” “서른여덟 살인데 오락실에 간다” “1000원으로 노래방이랑 오락실을 하루에 이만큼 논다” 등 A씨의 결제 내역을 일일이 거론하며 조롱했다. A씨는 “카드 영업 목적으로 전화를 걸었는데, 부재중일 경우 자동으로 음성 메시지가 남는다는 사실을 직원들이 인지하지 못한 채 사담을 나눈 것 같다”고 설명했다. 분노한 A씨는 곧장 카드사 고객센터에 민원을 넣었다. 그러나 카드사 측은 “직원이 결제 내역을 확인할 수 있으며 해당 대화는 개인정보 유출이나 불법이 아니다”라고 답변했다. 하지만 A씨가 경찰과 금융감독원에 직접 문의한 결과 “고객의 카드 결제 내역을 직원이 임의로 열람하는 것은 개인정보 유출에 해당한다”는 답변을 받았다. 이후 해당 직원은 A씨에게 직접 전화를 걸어 “안일한 판단으로 그런 행동을 했다”며 사과했다. 그러나 A씨는 “사과는 받았지만 너무 모욕적이었다”며 “금감원 등에 추가 민원을 제기할 것”이라고 밝혔다.

미국과 중국이 중국 동영상 앱 틱톡의 미국 내 사업권 지분 매각에 합의했다. 양국 간 해묵은 현안이 해결되면서 양국 정상이 19일 통화에서 도널드 트럼프 미국 대통령의 방중까지 길을 틀지 주목된다. 양국은 15일(현지시간)까지 이틀간 스페인 마드리드에서 열린 제4차 무역협상에서 미 소프트웨어 기업 오라클 등이 참여하는 투자자 컨소시엄이 틱톡의 미국 내 사업체를 인수하는 안에 합의했다고 블룸버그 통신 등이 16일 보도했다. 오라클과 벤처캐피털 앤드리슨 호로비츠, 사모펀드 실버레이크를 포함한 투자 컨소시엄이 주도해 새 법인의 지분 80%를 보유하게 된다. 틱톡 모회사인 바이트댄스 등 중국 주주들의 지분은 20% 미만으로 줄어든다. 오라클은 틱톡에 클라우드 서비스를 제공해 왔으면 래리 엘리슨 최고경영자(CEO)가 트럼프 대통령과 친분이 깊다. 미국 내 사업 가치에 400억 달러(약 55조원)에 이르는 틱톡은 젊은 층 미국인 사용자가 1억 7000만명에 이르며 조 바이든 전임 행정부 시절 중국 공산당의 개인정보 탈취·해킹 우려로 ‘국가안보 위협’ 딱지가 붙었다. 이에 바이트댄스가 미국 내 사업권을 미국에 팔지 않으면 현지 서비스를 금지하는 ‘틱톡 금지법’이 지난해 4월 제정됐다. 다만 트럼프 대통령은 재취임 후 법 시행을 세 차례 유예하며 중국에 매각 압박을 해 왔다. 트럼프 대통령은 16일 영국 국빈 방문차 백악관을 나서며 “중국과 합의에 도달했다”면서 “금요일(19일)에 시진핑 중국 국가주석과 통화하고 모든 것을 확정하려 한다”고 말했다. 트럼프 대통령의 방중 협상이 마무리 단계이나 “성사 여부는 (중국의) 미국산 대두, 보잉 항공기 구매에 달려 있다”고 사우스차이나모닝포스트(SCMP)는 17일 전했다. 한편 트럼프 대통령은 16일 생일을 맞은 나렌드라 모디 인도 총리에게 축하 전화를 하며 인도와 해빙 무드를 연출했다. 트럼프 대통령이 소원했던 중국, 인도와 관계 개선 분위기를 형성한 가운데 한미 관계는 근로자 구금 사태 이후에도 관세 협상 등으로 긴장 모드가 이어지고 있다.

집에서 쓰던 로봇청소기가 고장이 났다. 수리센터에 맡길까 고민하다 포기했다. 몇 년 전 가성비가 좋다기에 구입한 중국산인데, 중국산 로봇청소기의 사생활 침해와 개인정보 유출이 심각하다는 며칠 전 신문보도가 생각났다. 청소기 카메라가 집안을 누비며 찍은 영상이 해커 등 제3자에게 무단 유출되거나, 카메라가 강제로 작동될 수도 있다는 게 한국인터넷진흥원의 조사 결과였다. 가끔씩 충전이 부족하다며 꾀병 부리듯 태업(?)을 하는 것 말고는 신통하게 구석구석 깨끗이 해 주던 청소기가 우리집 개인정보를 빼돌리는 스파이일 수도 있다니! 국산 로봇청소기로 대체할까 생각도 해봤으나 로봇청소기에 대해 한번 생긴 보안 우려는 쉬 가시지 않았다. 그래서 거실 구석에 처박아 뒀던 진공청소기를 다시 쓰기로 했다. 일일이 팔을 뻗어 구석구석 밀고 다니는 게 품은 좀 들지만, 부족한 팔다리 운동도 되고 나쁘지 않은 것 같다. 만일 다시 로봇청소기의 ‘알아서 척척 해 주는’ 서비스가 아쉬워지면 상대적으로 보안 성능이 좀 낫다는 국산을 택할 생각이다. 박성원 논설위원

전남경찰청 소속 A경감이 자신이 맡은 사건과 관련해 고발인측인 대학으로부터 부인 회사에 2억여원의 공사를 받은 사실이 알려져 경찰이 수사를 벌이고 있다. A경감은 지난 2016년 순천경찰서 근무 당시 청암대학교 B교수의 횡령혐의 고발 수사를 담당했다. 청암대학 C 전 기획처장이 대학을 대신해 같은 해 11월 B교수에 대해 D조교의 통장을 통해 260만원을 받았다며 횡령 및 사기죄로 고발한 사건이었다. 수사 당시 대학측은 A경감의 부인이 운영하는 Y인테리어 회사에 화장실 공사 3건에 걸쳐 2억여원을 수의계약했다. Y회사는 B교수의 수사가 진행되는 2017년 2월과 8월 세차례에 걸쳐 산학정보관 화장실 보수공사(9194만원)와 정보과학관 여자화장실 환경개선공사(7770만원), 강의실 텍스 교체 공사(328만원) 등을 계약했다. B교수는 지난 2014년 대학 총장이 배임죄로 구속될 당시 수사에 협조를 했다는 이유로 2년 6개월동안 보복성 징계로 해임·파면을 당하고, 9년동안 대학측으로 부터 무려 100여건에 달하는 고소, 고발을 당했었다. 이 사건도 그 연장선이었다. B교수를 횡령혐의로 수사했던 경찰은 기소의견으로 송치했지만 항소심과 대법원에서 최종 무죄를 선고받았다. 오히려 이 사건과 관련해 B교수를 허위 내용으로 고발했던 C 등 교수 2명과 D조교는 지난해 대법원에서 위증죄, 개인정보보호법위반 등으로 징역형을 선고받고 당연 퇴직(파면)됐다. 최근 전남경찰청에 A경감에 대한 뇌물수수과 부정청탁·업무방해죄 혐의로 진정서를 접수한 B교수는 “A경감은 참고인들의 경찰진술 조사를 조직적으로 조작해 허위 진술을 하게 했고, 진술을 받기 전 30분동안 리허설을 하기도 했었다”고 말했다. 특히 “부정하게 허위진술서를 작성한 사실들을 절대 외부에 발설 해서는 안된다는 당부까지 했던 사실들이 재판 법정 증언들과 녹취록을 통해 드러나기도 했다”고 억울함을 호소했다. B교수는 “A경감에게 언제 또 누군가 조사를 받으면서 나같은 억울한 일이 발생할지도 모른다는 두려움 때문에 사실을 알리게 됐다”며 “명명백백하게 철저하게 수사해 진실을 밝혀달라”고 강조했다. 현재 전남경찰청은 B교수 사건 자료와 청암대학교 사무처 상대 공사 수주 현황을 확보해 분석중이다. 지난달 사무처 직원을 두차례 조사 했던 경찰은 A경감에 대해 조만간 조사한다는 방침이다. 이와관련 A경감은 “집사람이 인테리어업을 4년 정도 하다가 몸이 아파 폐업한 지 4~5년 됐다”며 “청암대학교에서 수의계약을 받아 공사를 했다는 내용은 전혀 모르는 일이다”고 말했다.

KT에서 무단 소액결제 사건이 발생하면서 통신사의 보안 부실 문제가 대두되는 가운데 개인정보 유출 경로로 지목된 초소형 기지국(펨토셀)의 33%가 시스템상 잡히지 않는 것으로 나타났다. 15일 최수진 국민의힘 의원실이 이동통신 3사로부터 받은 자료에 따르면 통신 3사의 전체 펨토셀 19만 5000대 중 약 33%에 달하는 6만 4000대가 미작동해 신호가 잡히지 않고 있다. 회사별로 보면 무단 소액결제 사고가 발생한 KT에서 이러한 펨토셀이 가장 많았는데, 총 15만 7000여대의 KT 펨토셀 중 5만 7000대가 신호가 잡히지 않았다. LG유플러스는 2만 8000대 중 4000대, SK텔레콤은 1만대 중 3000대에서 신호가 잡히지 않았다. KT는 이와 관련해 “일부 초소형 기지국 신호가 잡히지 않는 이유는 전원 꺼짐, 고장 등이 주요 원인”이라면서 “잠재적 추가 악용을 막기 위해 신호가 잡히지 않는 초소형의 기지국에 대한 망 접근을 차단했다”고 밝혔다. SK텔레콤은 “신호가 잡히지 않은 3000대는 재고 수량에 해당한다”고 했다. 관리의 사각지대에 놓인 펨토셀은 해킹의 대상이 되기 쉬운데, 펌웨어가 깔려있고 외부와의 통신이 가능해서다. 공격자는 방치된 펨토셀에 접근해 기기 초기화나 펌웨어 탈취 등을 시도할 수 있다. 한편 북한 배후 추정 해킹 조직인 ‘김수키’ 그룹이 생성형 인공지능(AI)으로 만든 딥페이크 이미지로 사이버 공격에 나선 사례가 국내에서 처음 확인됐다. 지난 8월 해외 보안전문 매체 프랙은 김수키가 행정안전부 등 정부 부처와 통신사를 대상으로 공격을 시도했다고 전한 바 있다. 이날 보안 전문기업 지니언스의 시큐리티센터(GSC) 보고서에 따르면 지난 7월 김수키 그룹은 AI로 합성한 이미지를 활용해 군 관계 기관에 ‘스피어 피싱’(특정 개인·조직을 표적화한 사이버 공격)을 시도했다. 군무원 신분증의 시안을 검토해달라고 악성 파일을 심은 피싱 메일을 보낸 것인데, 신분증 시안 속 첨부한 사진이 AI로 합성한 딥페이크 이미지였다. 센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라며 IT 조직 내 채용·업무·운영 전반에서 AI 악용 가능성을 고려한 대책 마련이 필요하다고 제언했다.

도널드 트럼프 미국 대통령이 14∼15일(현지시간) 스페인인 마드리드에서 열린 미중 무역협상에 대해 “매우 잘 됐다”고 밝혔다. 또 중국계 동영상 플랫폼 기업 틱톡 매각과 관련한 합의에 도달했다고 전했다. 트럼프 대통령은 15일 자신의 트루스소셜에 “유럽에서 열린 미국과 중국의 큰 무역 회담이 매우 잘 됐다”면서 “(회담은) 곧 마무리될 것”이라고 썼다. 트럼프 대통령은 또 “우리 나라 젊은이들이 매우 구해내고 싶어 했던 ‘특정’ 회사에 대해서도 합의에 도달했다”며 “그들은 매우 기뻐할 것”이라고 전했다. 이는 틱톡의 미국내 사업권 매각을 가리킨 것으로 보인다. 미국은 국가 안보와 개인정보 보호 등을 이유로 전임 조 바이든 행정부 시절인 작년 4월 이른바 ‘틱톡 강제 매각법’을 제정했다. 트럼프 대통령이 세 차례 매각 시한을 연장했지만, 오는 17일까지 미중이 합의에 도달하지 못하면 미국 내 틱톡 서비스는 중단된다. 트럼프 대통령은 그러면서 “시진핑 주석과 금요일(19일) 대화(통화)할 것”이라며 “(미중) 관계는 여전히 매우 강력하다”고 밝혔다. 스콧 베선트 미국 재무장관도 15일 2일차 무역협상을 시작하기에 앞서 기자들과 만나 중국과 틱톡 매각 관련 합의에 매우 근접했다고 밝혔다. 베선트 장관은 그러면서도 “중국 측 카운터파트가 매우 공격적인 요구사항을 가져왔다. 우리는 (합의에) 도달할 수 있을지를 지켜볼 것이다”라고 덧붙였다. 이번 마드리드 회담은 트럼프 대통령의 관세 정책 도입 이후 미국과 중국의 4번째 고위급 회담으로, ‘휴전’ 상태인 관세 현안도 핵심 의제다.

지난 12일 열린 제332회 서울시의회 임시회 제5차 본회의에서 이병윤 서울시의회 교통위원장(국민의힘, 동대문구1)이 발의한 ‘서울시 자율주행자동차 시범운행지구 운영 및 지원 조례 일부개정조례안’이 통과됐다. 이 위원장이 발의한 이번 조례 개정안은 자율주행차 확대에 따라 보안 검증 강화를 제도화하고, 자율주행버스의 조기 정착을 지원하기 위한 기반을 마련한 것이 핵심이다. 이번 조례 개정은 크게 두 가지 방향에서 추진됐다. 첫째 개인정보 및 공간정보 유출 방지 등 보안 검증 강화다. 개정안은 유상운송 허가 및 한정운수면허 발급 시 보안계획서 제출을 의무화하고, 심사를 위한 ‘보안분과위원회’를 새롭게 설치하도록 했다. 이를 통해 자율주행차 운행 과정에서 발생할 수 있는 각종 정보 유출 사고를 예방하고, 보안 점검 절차를 강화한다. 둘째 자율주행버스 확산을 위한 재정지원 근거가 마련됐다. 최근 개정된 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률’에 따라 국토교통부의 성능인증을 받은 자율주행버스는 정식 판매와 운행이 가능해졌다. 이에 따라 개정 조례는 노선 여객운송사업자가 성능인증을 받은 자율주행버스를 구매할 경우 재정적 지원을 받을 수 있도록 규정했다. 이는 전기차 보조금과 유사한 형태로, 자율주행버스의 초기 도입 부담을 줄여 대중교통에 조기 안착시키는 데 목적이 있다. 이 위원장은 “자율주행차 상용화는 도시교통 체계의 혁신이자 미래 성장 동력”이라고 말하며 “이번 조례 개정을 통해 서울시에서는 검증 체계를 확립하고 대중교통 수단으로서 자율주행버스 도입을 선제적으로 지원할 수 있는 근거를 마련하여 시민의 안전과 편의를 동시에 확보할 수 있을 것”이라고 강조했다. 한편, 서울시는 시민들의 높은 호응도를 이끌어낸 심야 자율주행 버스 및 새벽동행 자율주행 버스 운행 등을 시행 중으로, 올해 8월부터 청계천 자율주행 시범운행지구 내 운전석 없는 관광순환형 자율주행셔틀(B형 자율차) 사업 등을 추진하며 질적 자율주행 성장에 주력하고 있다.

SK텔레콤 유심 해킹 사고로 피해를 본 가입자들이 제기한 손해배상 청구 집단소송에서 SKT 측이 “원고의 청구를 기각해달라”는 답변서를 법원에 제출했다. 15일 법무법인 대륜에 따르면 SKT는 지난 3일 서울중앙지법에 ‘원고의 청구를 모두 기각하고 소송비용을 원고가 부담한다’는 내용으로 손해배상 청구에 관한 답변서를 제출했다. 대륜은 SKT 유심 해킹 사고로 피해를 본 용자 250여명을 대리해 SKT에 1인당 위자료 100만원을 청구하는 소송을 제기했다. 답변서에서 SKT는 구체적 반박을 유보했다. 개인정보 보호법 위반 여부와 관련해 개인정보위원회의 의결이 있었지만, 의결서가 송달되지 않아 구체적 이유를 확인하지 못했다는 이유다. SKT 측은 ‘이 사건에서 다투는 사실관계와 쟁점이 확인되는 대로 준비서면을 통해 상세하게 의견을 개진하겠다’라고 밝혔다. SKT가 방송통신위원회의 가입자 해지 위약금 면제 기간 연장 권고를 받아들이지 않은 데 이어 손해배상 청구도 거부하면서 해킹으로 피해를 본 소비자에 대한 보상을 외면한다는 지적도 나온다. 앞서 방송통신위원회 분쟁조정위원회는 SKT에 약정 해지 위약금 면제 기간을 올해 말까지 연장하라고 권고했다. SKT는 지난 7월 4일 열흘 뒤까지 약정을 해지한 고객은 위약금을 면제하겠다고 발표했는데, 마감 시한이 너무 짧아 소비자가 충분히 인지하기 어려웠다는 이유다. 그러나 SKT가 회신 기한 내에 의견서를 내지 않으면서 자동으로 권고를 받아들이지 않게 됐다. 손해배상 집단소송을 이끄는 대륜 특별수행본부(조영곤·여상원·김명철 변호사)는 “SKT가 과징금 1348억 원을 부과받고도 고객 피해에는 책임 있는 태도를 보이지 않는 것”이라며 “이번 소송을 통해 개인정보 보호를 기업 경영의 최우선 가치로 삼는 계기를 마련하고, 기업의 무책임에 경종을 울리겠다”라고 밝혔다.

KT 무단 소액결제 사태의 피해자가 약 200명으로 늘어난 가운데, 반복되는 통신사의 보안 불감증에 대한 비판이 커지면서 해외 사례에도 관심이 쏠리고 있다. 15일 이동통신 업계에 따르면 KT 사태와 유사하게 통신망 허점을 노린 결제 사고는 미국·일본 등 선진국에서도 종종 발생했다. 2022년 미국에서는 암호화폐 거래서 FTX 해킹 사태가 발생했다. 미국 유력 이동통신사인 AT&T의 본인인증 시스템 취약점을 노린 범죄였다. 미 법무부는 지난해 2월 FTX를 해킹해 4억 1500만 달러(한화 약 5146억 원) 상당의 가상화폐를 빼돌린 해커 일당 3명을 기소했다. 2019년에는 AT&T와 버라이즌 직원과 협력업체 관계자가 뇌물을 받고 심 스와핑(SIM Swapping) 범죄에 가담했다가 기소되기도 했다. 심 스와핑은 해커가 타인의 전화번호와 개인정보(이름, 생년월일 등)를 이용해 이동통신사에 피해자를 사칭, 기존 사용자의 유심(USIM) 정보를 복제하거나 재발급받는 방식의 범죄다. 복제한 심 카드를 휴대전화에 넣으면 피해자가 원래 받던 문자, 전화 인증 등을 해커가 모두 탈취할 수 있다. 미국은 유사 사건 방비를 위해 SIM 교체나 번호 이동 문서 처리 전 신원확인 절차를 의무화했다. 또 심 스와핑과 같은 시도가 발생할 경우 처리 전에 고객에게 반드시 통지하도록 했다. 일본에서는 2020년 당시 점유율 1위 통신사인 NTT도코모가 운영하는 전자결제 서비스 ‘도코모 계좌’에서 대규모 부정인출 사건이 발생했다. 공격자는 도용한 개인정보를 사용해 ‘도코모 계좌’를 만든 뒤 다른 사람의 예금을 무단으로 인출했다. 일본은 피해 발생 직후 신규 등록을 일괄 중단하고 피해 방지 대책에 나섰다. 또 결제 계좌 개설 과정에서 2단계 인증을 도입해 본인 확인 체계도 강화했다. 유럽에서는 소액결제 사기 및 과다 청구 사례를 미리 방지하기 위해 소액결제 상한선을 제한했다. 유럽연합(EU)은 2018년부터 이동통신 요금에 합산돼 청구되는 디지털 소액결제의 상한선을 건당 50유로(약 8만 1500원), 월 300유로(약 49만 원)로 제한하고 있다. 허술한 ARS 인증 고수, 결제대행사에 책임 돌리는 한국 통신업계국내에서는 지난달 27일 새벽 경기 광명·서울 금천 등 일부 KT 고객들의 휴대전화에서 본인도 모르게 소액결제가 진행된 것이 처음 확인된 뒤 유사한 피해 신고가 잇따라 접수됐다. 이번 사태는 범인이 불법 초소형 기지국(불법 기지국)을 통해 KT망에 접속, 개인 IMSI((가입자식별번호)등을 유출한 뒤 모바일 상품권 등으로 무단 소액결제를 일으키면서 발생했다. IMSI 유출로 인해 피해자 본인 인증 없이 결제가 이루어졌고, KT 알뜰폰 이용자까지 영향을 받은 것으로 파악된다. 지난 12일까지 경찰에 신고된 무단 소액결제 피해자는 총 199명, 피해액은 1억 2600만원으로 늘어났다. KT 자체 집계는 278건, 피해 규모는 1억 7000만원으로 더 많으며 피해자가 인지하지 못한 추가 사례도 확인하고 있다. 소액 결제의 허점이 그대로 드러난 해킹 사례는 이번이 처음이 아니지만 KT가 그동안 안일한 태도로 문제를 대한 탓에 피해가 눈덩이처럼 불어났다는 지적이 나온다. KT는 지난 10일 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)이 사건이 가장 빈번히 일어났을 것으로 추정되는 지난달 27일부터 열흘간의 소액결제 이용자 수, 이용 금액 등을 요구하자 “월별 관리 중으로 정확한 현황을 추출하지 못한다”고 답변했다. 이에 황 의원은 “로그기록과 요금이 모두 시스템상 남아있음에도 전체 소액결제 거래 현황은 파악할 수 없다는 KT의 의문스러운 태도가 결국 해킹 피해 규모를 축소하기 위한 것 아니냐”고 지적했다. 현행법상 기업이 먼저 신고하기 전까지는 현장 조사 불가일각에서는 KT 등 국내 통신 업계가 이미 문제가 입증된 소액 결제의 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 소비자 분쟁이 발생하면 앱스토어 운영자나 결제대행사(PG)에 책임을 돌리고 있다는 비난을 내놓는다. 특히 KT 무단 결제 사고의 경우 경찰이 KT에 미리 집단피해 사실을 알렸음에도 “해킹 정황이 없다”고 자체 판단하고 침해 신고를 뒤늦게 한 사실이 알려져 논란이 됐다. 현행법에 따르면 해킹 등 사이버 침해 사고를 당한 기업이 스스로 정부에 신고하기 전까지는 직권 현장 조사가 불가능하다. 당국이 나서서 선제 조처를 취하는 데 한계가 있다는 의미다. 배경훈 과학기술정보통신부 장관은 12일 기자간담회에서 KT 무단 결제 사고 대응과 관련한 질의에 “원인 분석도 중요하지만, 신고 이후에나 조사를 진행할 수 있는 체계를 바꿔야 한다”며 “국화와도 논의 중이며, 정부와 국회 차원에서 할 수 있는 최대한의 고민을 하고 있다”고 밝혔다. 이어 “개인정보도 많고, 워낙 통신 활용도가 높다 보니 통신사를 대상으로 사고가 자주 일어나는 것으로 본다”며 “단말기 제조사 관점에서도 해킹이 근본적으로 일어나지 않도록 관련 앱을 설치하거나, 통신사들도 스미싱 사고 발생이 없도록 차단하는 등 국가 차원에서 종합 보안 대책이 필요하다고 본다”고 덧붙였다.

“AI 시대, 경기도의회가 디지털 의정으로 새 길을 열겠습니다.” 경기도의회 정동혁 의원(더불어민주당, 고양3)의 목소리에는 변화와 도약의 의지가 담겨 있었다. 정 의원이 대표발의한 ‘경기도의회 정보화위원회 설치와 운영 조례 전부개정조례안’이 지난 12일 열린 제386회 임시회 제2차 의회운영위원회 심사를 통과했다. 이번 개정안은 조례명을 ‘경기도의회 디지털 의정 조례’로 바꾸고, 데이터 기반·효율성·투명성·참여 확대·안전성 확보 등 5대 기본 원칙을 명문화해 의정활동 전반의 디지털 전환을 제도화했다. 정 의원은 제안설명에서 “디지털 기술은 의회의 생산성을 높이고 도민과의 소통을 넓히는 핵심 수단”이라고 밝혔다. 이어 “기존 정보화위원회가 단순한 정책 심의에 그쳐 변화된 환경을 따라가기 어려웠다”면서, “이번 개정을 통해 의정활동 전 과정에 디지털 기반을 갖추고자 했다”고 설명했다. 또한 “3년간 직접 정보화위원회 위원으로 활동을 하며 느낀 제도적 한계를 개선하기 위해 실행 가능한 조항을 담았다”며, “데이터 기반 의사결정, 기록 관리의 체계화, 도민 참여의 상시화로 신뢰받는 의회를 만들겠다”고 말했다. 개정안은 ▲디지털 의정 기본계획과 연도별 시행계획 수립 의무화 ▲정보화위원회를 ‘디지털의정위원회’로 전환해 심의·자문 기능 확대 ▲디지털 의정 정보시스템 구축·운영 및 정보 보호 규정 신설 ▲도민 참여 플랫폼 도입 ▲의원·사무처 직원 교육과 재원 확보 등을 주요 내용으로 담고 있다. 이를 통해 회의 운영, 자료 관리, 의사일정 등이 표준화되고, 도민 의견이 제도적으로 반영되는 구조가 마련될 것으로 전망된다. 개인정보 보호와 보안 체계도 강화돼 시스템 안정성 역시 높아질 것으로 기대된다. 정 의원은 “이번 조례는 경기도의회가 AI 시대에 맞는 디지털 전환을 제도적으로 뒷받침하는 출발점”이라며, “도민이 정책 과정을 직접 확인하고 참여할 수 있는 ‘열린 의회’를 실현하겠다”고 말했다. 한편, 이날 상임위를 통과한 조례안은 오는 19일(금) 열리는 제386회 임시회 제4차 본회의에서 최종 의결될 예정이다.

경기도의회 미래과학협력위원회(위원장 이제영, 국민의힘, 성남8)는 지난 9월 10일(목)부터 12일(금)까지 열린 제386회 임시회에서 조례안, 동의안, 2025년도 제2회 추가경정예산안 등을 심사했다. 이번 임시회에서는 ‘경기도 개인정보 보호 조례 전부개정조례안’, ‘경기도 자율주행자동차 운영 및 지원 조례 일부개정조례안’ 등 총 3건의 조례안을 심의했다. 개정안은 개인정보 보호 제도의 실효성과 운영의 효율성을 높여 도민 권익 보호를 강화하고, 자율주행 서비스 활성화를 위한 재정지원의 범위를 확대하는 내용을 담고 있어, 미래 신산업 생태계 조성의 기반을 마련할 것으로 기대된다. 위원회는 또한 AI국, 국제협력국, 미래성장산업국이 제출한 출연계획 및 사무위탁 동의안 총 41건에 대해 종합적으로 심사했다. 위원들은 위탁 사무의 타당성, 절차적 적정성, 수탁기관의 전문성 등을 면밀히 검토하며, 위탁 사업이 본래 취지에 맞게 수행될 수 있도록 제도적 장치를 강화하는데 중점을 두었다. 심사 과정에서는 ▲지역 간 형평성과 수요 반영 부족, ▲ 성과보고서의 자료 구성의 미흡, ▲위탁 사무의 절차 이행상의 문제점, ▲공공기관 위탁 방식의 한계 등 다양한 지적이 제기됐다. 이후 위원회는 향후 제출되는 안건들이 보다 충실하게 준비되어야 하며, 공무원들의 인식 전환을 통해 보다 책임감 있는 사업 추진이 이루어져야 한다고 강조했다. 아울러 이번 제2회 추가경정예산안 심사에서는 도의 어려운 재정 여건을 반영하여 미래과학협력위원회 소관 예산이 약 757억 원 감액되어, 총 8,257억 원으로 편성됐다. 위원회는 재정의 효율적 배분과 함께 미래산업 육성 및 국제협력 사업이 차질 없이 추진되도록 세부 항목을 면밀히 검토하고, 시급성과 타당성 등을 고려하여 일부 사업은 수정 의결했다. 이제영 위원장은 “도의회의 동의 절차는 정책의 투명성과 책임 있는 집행을 확보하며, 공정하고 신뢰받는 경기도정을 실현하기 위한 핵심 제도적 기반”이라고 강조하며, “이번 심사 과정에서 지적된 사항들은 철저히 보완해, 제도의 취지가 현장에서 제대로 구현될 수 있도록 만전을 기해달라”고 당부했다. 또한, “경기도는 수요자 중심의 정책을 통해 차별화된 행정을 실현해 나가야 하며, 비록 일부 예산이 감액되었더라도 각 사업이 내실 있게 추진되어 도민이 실질적으로 체감할 수 있는 성과로 이어지길 바란다”고 밝혔다. 한편, 위원장은 국제개발협력사업과 관련하여 에티오피아를 비롯해 6·25 참전국 중 저개발국가인 콜럼비아, 필리핀을 대상으로 예우 차원의 지원 방안을 마련해 내년도 업무보고에 반영할 것을 주문했다.