국회 과학기술정보방송통신위원회가 13일 과학기술정보통신부 등에 대한 국정감사에서 야당 의원들이 준비한 딥페이크 영상물을 두고 여야가 충돌하며 파행을 빚었다. 김장겸 국민의힘 의원은 정부세종청사에서 열린 국정감사에서 “인공지능(AI) 악용과 부작용 사례는 차고 넘친다. 경각심을 일깨우는 차원에서 딥페이크 영상을 준비했다”고 말했다. 영상에는 배경훈 부총리 겸 과기정통부 장관이 이춘석 전 국회 법제사법위원장(전 더불어민주당 의원)과 비밀 회동을 했다는 점을 암시하는 대화가 담겼다. “7월 말쯤 둘이(배 부총리와 이 의원) 만났다고 하더라고. 이춘석이, 국정기획위에 있었잖아. 정부 AI 사업도 보고받고 그쪽에 관심이 많았나 봐”라는 음성이 송출됐다. 주식 차명거래 의혹이 불거진 이 의원을 겨냥한 것이다. 영상이 시연되자 여당 의원들의 항의가 빗발쳤다. 이에 김 의원은 “이 의원이 정부의 AI 정책을 총괄하는 자리에 있어 여러 뜬소문이 돌았다”고 맞섰다. 그러자 배 부총리는 “이런 영상의 경우 소라로 만들면 소라로 만들어진 영상이라고 표시가 된다”며 “이 영상도 딥페이크 영상이라는 자막이 나왔으면 좋았을 것”이라고 짚었다. 이어 “국정감사에서 영상이 띄워지면 사실로 오해해 (영상이) 돌아다닐 수도 있을 것 같다”며 유감을 표했다. 고성이 이어지자 최민희 과방위원장이 회의 시작 1시간 15분 만에 정회를 선언했다. 한편 2023년 연구개발(R&D) 예산 삭감을 누가 주도했느냐는 노종면 민주당 의원 질의에 배 부총리는 “주요 R&D를 10조원으로 삭감하라는 최상목 당시 경제수석의 지시가 있었다”고 밝혔다.

13일 국회 과학기술정보방송통신위원회 국정감사에서는 추석 연휴 내내 여야가 충돌한 정부의 국가정보자원관리원(국정자원) 화재 사고 대응이 도마 위에 올랐다. 배경훈 부총리 겸 과학기술정보통신부 장관을 소재로 한 인공지능(AI) 딥페이크 영상이 재생되면서 국감이 파행되기도 했다. 배 부총리는 이날 정부세종청사에서 열린 과방위 국정감사에서 최근 연이어 발생한 통신사 해킹 사태와 국정자원 화재 사고에 대해 공식 사과했다. 배 부총리는 “최근 대규모 해킹 사고와 국정자원 화재에 대해 디지털 안전 책임을 책임지고 있는 과기정통부 장관으로서 막중한 책임감을 느낀다”며 “가능한 모든 수단을 동원해 근원적인 재발 방지책을 마련하겠다”고 말했다. 최수진 국민의힘 의원은 “과기정통부는 처음 대통령 중앙재난안전대책본부 회의가 9월 28일 오후 5시 30분에 열렸다고 한다”며 “(화재가 발생한 뒤) 48시간 이후 대통령 주재 중대본 회의가 열린 것이 적절하다고 생각하느냐”고 질의했다. 이에 배 부총리는 “28일 회의는 당초 총리 주관으로 진행될 계획이었지만, 대통령이 직접 참석하면서 지시를 내리셨다”며 “회의에서 실제적인 데이터 이중화 문제, 액티브 방식 등 여러 안건에 대해 논의했다”고 답했다. 국민의힘 신성범 의원과 김장겸 의원은 AI로 제작한 딥페이크 영상을 시연하며 과기정통부의 AI 정책이 충분하지 않다고 지적했다. 이 과정에서 김 의원이 주식 차명거래 의혹으로 민주당을 탈당한 이춘석 무소속 의원이 AI 관련 주식 거래를 하기 전 배 부총리의 보고를 받는 것을 묘사한 딥페이크 영상을 공개했고, 이에 여야 간 고성이 오가면서 국감이 일시적으로 파행을 겪는 사태도 발생했다. 배 부총리는 “영상에 딥페이크 영상이라는 자막이 나왔으면 좋았을 것 같다. 이 영상이 돌아다닐 것에 대한 우려가 있다”며 우려를 표명했다. 그러면서도 “과기정통부가 부총리 조직으로 승격하면서 AI실이 생기고 산하에 2개 과가 신설된 것은 AI의 산업 진흥만큼 안전과 신뢰에 대한 부분도 아주 중요하게 생각한다는 뜻”이라고 덧붙였다. 배 부총리는 윤석열 정부 시절 연구개발(R&D) 예산 삭감에 대해서도 “R&D 예산 삭감으로 피해 입은 모든 분들게 사과드린다. 이런 피해가 다시 발생하지 않도록 최선의 노력을 다하겠다”고도 했다. 또한 “(R&D 예산 삭감 과정에서) 대통령실에 끌려간 측면이 있다”며 최상목 당시 대통령실 경제수석이 주요 연구개발비를 10조원으로 줄이라고 한 사실을 인정했다. 한편 14일 열리는 방송미디어통신위원회 국감에서는 구글·애플·메타 등 빅테크 기업들에 대한 질의가 이어질 전망이다. 마크 리 애플코리아 사장, 황성혜 구글코리아 부사장, 이희진 메타 법무 총괄 등이 국감 증인으로 채택됐다.

휴대전화 구매 시 추가 지원금에 상한선을 둔 ‘이동통신 단말장치 유통구조 개선법’(단통법)이 지난 7월 말 사라졌지만, 정작 휴대전화 구매 지원금은 소폭 오르는 데 그쳐 법 폐지 취지가 무색하다는 지적이 나온다. 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 9일 방송통신위원회로부터 받은 자료에 따르면, 통신사가 휴대전화 단말기 구매자에게 준 지원금은 지난달 기준 평균 75만원으로 파악됐다. 지난 2월 단말기 보조금 66만 9000원에서 8만원가량 오른 수준이다. 단통법 폐지 직전인 지난 6월 SK텔레콤의 유심 해킹 사태 여파로 이동통신사 간 경쟁이 치열했을 당시 지원금(73만원)과 비교하면 2만원 오르는 데 그쳤다. 지원금 추이를 월별로 보면, 3월 66만 2000원으로 소폭 떨어졌다가 4월 68만 2000원, 5월 69만 9000원, 6월 73만 3000원, 7월 75만 8000원으로 증가했다. 하지만 단통법 폐지 이후인 8월에는 74만 7000원, 9월에는 75만원으로 오히려 지원금의 상승 폭이 둔화했다. 다만 올해 초 수도권 휴대전화 매장의 평균 지원금은 69만원, 비수도권은 63만원으로 6만원가량 차이 나던 것이 단통법 폐지 후인 지난달 수도권 지원금은 75만원, 비수도권은 74만원대로 격차가 좁혀진 효과는 있었다.

정부출연연구기관(출연연)이 보유하고 있는 특허 10개 가운데 6개는 활용되지 못하고 있는 상태인 것으로 3일 파악됐다. 전체 23개 출연연 가운데 16곳은 전체 출연연의 평균 활용률에도 미치지 못해 특단의 대책이 필요하다는 비판이 나온다. 국회 과학기술정보방송통신위원회 소속 한민수 더불어민주당 의원실이 국가과학기술연구회(NST)로부터 제출받은 자료에 따르면 지난 6월까지 전체 출연연이 보유한 특허는 4만 8701건으로 집계됐다. 이 중 기술이전·양도 등 실질적으로 기술사업화에 활용되고 있는 ‘활용특허’는 1만 9335건(39.7%)에 그쳤다. 특허를 활용하는 비율이 50%가 넘는 기관은 한국건설기술연구원(64.9%), 한국전자통신연구원(55.4%), 한국생명공학연구원(53.8%), 국가보안기술연구소(52.7%) 4곳으로 조사됐다. 국가독성과학연구소(15.0%), 한국핵융합에너지연구원(20.8%), 한국에너지기술연구원(23.1%) 등 16곳의 활용특허 비율은 전체 출연연의 평균 활용률인 39.7%에 미치지 못했다. 한편 출연연이 등록 후 5년이 경과하도록 활용되지 않은 특허인 ‘미활용특허’는 5085건으로 전체 특허의 10.4%를 차지했다. 이러한 미활용특허를 유지하기 위해 5년간 총 77억 5700만원, 연간 평균 15억 5100만원의 혈세가 투입된 것으로 나타났다. NST는 지난해 개별 출연연 단위에서 추진하던 기술사업화 업무를 총괄하겠다며 임시 조직인 ‘총괄TLO(사업화공동추진) 태스크포스(TF)’를 출범시켰지만 약 1년간의 운영에도 특허 활용률은 지난해(40.7%)보다도 부족한 수준이었다. 미활용 특허는 4810건에서 5085건으로 늘어 실효성이 크지 않다는 평가도 나왔다. 한민수 의원은 “그동안 출연연의 특허 활용률을 높여야 한다는 지적은 계속 이어져 왔지만 유의미한 변화는 보이지 않고 있다”며 “과기정통부와 NST는 임시조직이 아닌 기술사업화 전문조직을 구성해 국가 연구개발(R&D) 사업의 기술사업화를 총괄적으로 지원해야 한다”고 강조했다.

이준석 개혁신당 대표가 대전 국가정보자원관리원(정보자원관리원) 화재로 인한 정부 전산망 마비에 대해 “지금이 나무 심기 좋은 때”라면서 디지털 인프라 구축 및 정부 시스템 현대화를 주장했다. 이 대표는 29일 국회에서 열린 최고위원회의에서 이재명 대통령에게 “13조원의 현금을 살포하는 포퓰리즘 정책 대신, 그 돈으로 대한민국의 디지털 인프라를 완전히 새로 구축하시라”고 제안했다. 이어 “현금은 쓰고 나면 사라지지만, 제대로 된 디지털 인프라는 영구적 자산이 된다”면서 “근본적인 리팩토링(refactoring)이 필요한 문제이고, 여기에는 충분한 예산과 시간이 필요하다”고 강조했다. 이 대표는 “애초에 지리적 이중화를 위해 설계되지 않았기 때문에 대구와 광주에 분원이 있었지만 작동하지 않았다”면서 “애초에 고가용성을 염두에 두지 않고 설계된 시스템은 솔직히 말하면 다시 만드는 수준까지 가야 할지도 모른다”고 주장했다. 2008년 시작된 전자정부표준프레임워크에 대해선 “과거 우리나라의 표준화된 전자정부 구축을 위해 중요한 역할을 했지만 역설적으로 이제는 일반적인 젊은 개발자들이 개발하는 환경과 너무 괴리됐다”고 꼬집었다. 정부 시스템이 외주 업체들에 의해 개발되는 점, 프로젝트가 끝나면 개발자들이 떠나 문제가 생겨도 고칠 사람이 없는 점 등도 지적했다. 그러면서 정부 시스템 고가용성 보장을 위한 법제 강화, 정보통신(IT) 인프라 현대화 특별 예산 편성, 정부 시스템 전면 재구축 10개년 계획, 전자정부표준프레임워크 전면 현대화, 정부 직접 개발 역량 확보 등 5가지 방안을 제시했다. 이 대표는 “국민이 365일 24시간 안정적으로 행정 서비스를 받을 수 있도록 하는 것, 이것이야말로 진정한 민생이고 국가의 기본 책무”라면서 “나무를 심기 가장 좋은 때는 20년 전이었지만, 두 번째로 좋은 때는 바로 지금”이라고 강조했다. 미국 하버드대 컴퓨터공학과 출신인 이 대표는 국회 과학기술정보방송통신위원회에서 활동하면서 인공지능(AI) 등 IT 분야 이슈에 지속적으로 목소리를 내왔다. 이 대표는 전날 페이스북에 “우리 조상들이 조선왕조실록을 한양, 춘추관, 충주, 전주, 성주 사고에 분산 보관했던 지혜를 떠올려야 한다”며 “임진왜란 때 전주 사고본만이 살아남아 역사가 이어질 수 있었듯 국가 기간 서비스는 단순한 장비 이중화를 넘어 지리적으로 완전히 분리된 데이터센터에 분산돼야 한다”고 제언했다.

정부 전산망 마비 사태와 관련해 이준석 개혁신당 대표가 정치 공방보다 실질적인 대책 마련이 필요하다며 국가 기간 서비스의 ‘지리적 이중화·3중화’ 구축을 촉구했다. 국회 과학기술정보방송통신위원회 소속인 이준석 대표는 28일 페이스북에 글을 올려 “전산망 장애로 국민 불편이 가중되고 있다”며 “정치적 공격은 쉽지만, 과학·통신을 담당하는 국회의원이라면 해법을 고민하고 제시하는 것이 책무”라고 밝혔다. 그는 “조선왕조실록을 한양, 춘추관, 충주, 전주, 성주에 분산 보관했던 지혜를 떠올려야 한다”며 “임진왜란 당시 전주 사고본만 살아남아 역사가 이어졌듯, 국가 핵심 서비스도 단순한 장비 이중화를 넘어 지리적으로 완전히 분리된 데이터센터에 분산돼야 한다”고 강조했다. 이어 “무엇보다 중요한 것은 진정한 의미의 지리적 3중화”라며 “대전·세종에 집중된 현 구조에서 벗어나 영남권과 호남권에도 데이터센터를 추가 건립해야 한다”고 주장했다. 이준석 대표는 민간 기업들이 아마존웹서비스(AWS), 구글 클라우드 등으로 분산형 백업을 운영하는 사례를 언급하며 “정부는 민감한 정보를 다루는 만큼 더 강력한 자체 인프라를 갖춰야 한다”고 지적했다. 또한 “저장 장치 가격이 충분히 낮아졌고 국내 네트워크 인프라도 잘 구축돼 있다”며 “이번 장애로 발생한 경제적 손실과 국민 불편을 고려하면 이중화 데이터센터 구축 비용은 정당화될 수 있다”고 말했다. 그는 넷플릭스가 시스템을 의도적으로 중단시켜 복원 체계를 점검하는 ‘카오스 몽키’를 사례로 들며 “정기적인 테스트와 개선 문화 정착이 필요하다”고도 했다. 이 대표는 “화려한 AI 시대를 외치기 전에 먼저 기초 인프라를 튼튼히 해야 한다”며 “이번 사태가 우리 디지털 인프라 전반을 점검하고 도약하는 계기가 되길 바란다. 무엇보다 현장에서 복구에 매진하는 엔지니어들에게 감사와 응원을 전한다”고 덧붙였다.

“올해처럼 불확실한 국정감사가 또 있을까요.” 오는 10월 국회 국정감사를 앞두고 산업통상자원부 소관 에너지 공기업들의 불안감이 어느 때보다 크다. 국감 시기가 정부조직법 개정과 맞물려 상임위원회가 확정되지 못하고 있기 때문이다. 25일 정치권에 따르면 국회는 다음달 13일 국감을 시작한다. 국감은 야당이 존재감을 드러내지만 올해는 상황이 사뭇 다르다. 새 정부 출범 4개월 만에 치르는 만큼 주로 지난 정부의 실정에 초점이 맞춰질 것으로 보인다. 이런 상황에서 정부조직법 개정이 최대 변수로 떠올랐다. 화두는 산업통상자원중소벤처기업위원회다. 정부조직법 개정안에 따라 산업통상자원부의 에너지 기능이 분리돼 기존의 환경부와 합쳐져 기후환경에너지부로 거듭난다. 상임위도 조정이 불가피하다. 산자위에서 담당했던 에너지 기능을 환경노동위원회로 넘기는 방안이 유력하다. 공공기관들은 혼란에 빠졌다. 한국수력원자력은 올해 국감에서 기존 산자위와 과학기술정보방송통신위원회에 더해 환노위까지 무려 3개 상임위에서 감사를 받을 것으로 예상한다. 정부가 원전 수출 기능은 산업부에 남기기로 하면서다. 발전 공기업들도 이재명 정부가 강조하는 중대재해에서 자유롭지 않아 좌불안석이다. 한 공공기관 관계자는 “환노위가 노동 문제를 집중적으로 다뤄 온 만큼 산재 이슈로 ‘호되게 혼날’ 가능성도 있다”고 했다. 환노위가 에너지 현안을 깊게 다룰 수 있을지도 의문이다. 산업부 관계자는 “의원이나 보좌진들이 에너지 이슈에 관해 공부를 많이 하고는 있지만 뭘 질문해야 할지 모르겠다는 우려가 큰 분위기”라고 귀띔했다. 국회에서도 상임위 정수 조정과 ‘사보임’ 등 인력 재배치가 논의되고 있다. 하지만 시간이 촉박해 상임위 이름만 바꾸고 진행할 가능성이 크다. 국감 직전까지 정해지지 않으면 ‘맹탕 국감’이 될 수 있다고 우려하기도 한다. 또 다른 공공기관 관계자는 “국회에서도 어디서 에너지를 담당할지 방향을 잡지 못하다 보니 국정감사 자료 요구가 예년에 비해 줄었다”며 “국회나 피감기관 모두 준비가 부족한 것은 마찬가지”라고 전했다.

SK텔레콤에 이어 롯데카드, KT 등 통신·금융업계가 해킹에 뚫려 개인정보가 줄줄 새 나가면서 소비자들의 피해도 커지고 있다. 국가기관 역시 예외는 아니다. 헌법기관·중앙행정기관에서 유출된 개인정보 건수가 2년 새 6배나 늘었다. 민관 모두 해킹에 멀쩡한 곳이 없다. 디지털 시대 ‘국가 재난’ 수준으로 대응해야 한다는 목소리가 높다. 개인정보보호위원회에 따르면 국가기관의 개인정보 유출 규모는 2022년 65만건에서 지난해 391만건으로 급증했다. 신고 건수는 2022년 23건에서 지난해 104건으로 폭증했다. 올 들어 7월까지 이미 72건의 신고가 들어왔고 총 91만건이 유출됐다. 건강보험공단에서 지난 1일 182명의 개인정보가 뚫렸고 질병관리청에서도 올해만 두 번 유출됐다. 내 개인정보가 오늘 당장 떠돌아다녀도 조금도 이상하지 않을 상황이다. 공공기관이 보유한 개인정보는 중앙기관 303억건, 지방자치단체 56억건, 교육기관 29억건 등 총 757억건에 달한다. 통신사와 보험사, 저축은행, 카드사, 인터넷서점에 병원 등까지 해킹에 뚫리지 않은 곳이 없을 정도로 해킹 위협과 정보 유출 피해는 심각해지고 있다. 해킹 수법도 KT의 ‘가짜 기지국’ 등 갈수록 고도화하고 있다. 그런데도 기업이나 기관이나 해킹 등 보안 강화를 위한 예산과 전담 인력 투입은 턱없이 부족하다. 지난해 공공기관 중 정보 보호 예산이 1000만원 미만인 기관은 83곳(10.4%)이었다. 롯데카드의 올해 관련 예산은 정보기술 예산의 9%로 2020년 14.2%에서 오히려 급감했다. 어제 국회 과학기술정보방송통신위원회의 해킹 사고 청문회에서 의원들은 KT, 롯데카드 등을 상대로 “구멍가게도 이렇게 안 한다”며 질타를 쏟아 냈다. 책임자 사후 처벌도 중요하지만 보안 의식 강화와 실효성 있는 재발 방지책 마련이 시급하다. 과학기술정보통신부, 금융위원회 등 관련 부처가 합동 대응을 강화하지 않으면 ‘인공지능(AI) 강국’은 요원할 수밖에 없다.

이재명 대통령의 핵심 측근으로 꼽히는 김현지 대통령실 총무비서관의 국정감사 증인 채택 여부를 두고 여야가 충돌했다. 국회 운영위원회는 24일 전체회의를 열고 국정감사계획서와 증인·참고인 출석 요구의 건을 논의했다. 강훈식 대통령실 비서실장 등 11명이 대통령실 증인으로 상정됐지만 국민의힘은 김 비서관이 명단에 포함되지 않은 것을 두고 거세게 반발했다. 국회 운영위 간사를 맡고 있는 유상범 국민의힘 의원은 “김 비서관은 절대 불러서는 안 되는 존엄한 존재냐”고 직격했다. 이에 더불어민주당 간사인 문진석 의원은 “비서실장에 따져 물어도 국감에는 지장이 없다. 정쟁으로 삼으려는 국민의힘의 의도에 동조할 수 없다”고 반박했다. 결국 운영위는 이날 증인 채택 안건을 의결하지 않고, 간사 간 추가 협의 후 다시 논의하기로 했다. 한동훈 전 국민의힘 대표는 이날 자신의 페이스북에 “민주당은 대법원장, 대법관들을 막 부르면서 김 비서관은 못 부르게 막고 있다”며 “정청래식으로 김현지씨는 ‘뭐’라도 되느냐”고 적었다. 이날 국회 과학기술정보방송통신위원회는 온라인에서 악성 루머를 통해 돈을 버는 ‘사이버 렉카’ 관련 대책을 마련하기 위한 참고인으로 유튜버 쯔양(본명 박정원)씨의 출석 요구안을 의결했다. 해킹 및 개인정보 유출과 관련해선 김영섭 KT 대표이사, 조좌진 롯데카드 대표이사 등을 증인으로 채택했다. 한편 민주당은 이재명 정부 출범 이후 처음 열리는 이번 국정감사에서는 대기업 총수에 대한 무분별한 증인·참고인 채택을 자제하기로 한 것으로 알려졌다.

KT 무단 소액결제 피해가 가입 기간에 관계없이 전 세대에 걸쳐 광범위하게 발생한 것으로 나타났다. 피해 지역은 경기 광명시에 집중된 것으로 확인됐다. 23일 국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원실이 KT로부터 제출받은 자료에 따르면, 현재까지 집계된 피해자는 총 362명으로 여기에는 20년 이상 장기 가입자(10명)도 포함됐다. 가장 최근 피해자는 올해 7월 7일 신규 가입한 고객이었다. 피해자 362명 중에는 KT 고객이 아닌 KT 망을 이용하는 알뜰폰 가입자도 59명 포함됐다. 연령별로는 40대가 95명으로 가장 많았고, 30대와 50대가 각각 90명이었다. 20대 피해자는 36명, 60대 이상은 51명으로 전 세대에 피해가 발생했다. KT가 공식 집계한 지역별 피해 현황을 보면, 전체 피해자의 64%(233명)는 광명시에서 발생했다. 이어 서울 금천구(59명), 경기 부천시 소사구(22명) 순이었다. 문제는 피해자 중 추가 보안 서비스에 가입한 이용자가 14명(4%)이나 있었다는 점이다. 과방위 소속 이상휘 국민의힘 의원이 KT로부터 받은 자료에 따르면 피해자 중 5명은 ‘휴대폰 안심결제서비스’에, 7명은 ‘ARS안심인증부가서비스’에 가입해 있었다. KT고객센터에는 이미 지난달 27일부터 이달 2일까지 총 6건의 피해 신고가 들어왔지만, KT는 지난 1~2일 경찰로부터 소액결제 피해를 분석해 달라는 요청을 받은 뒤에야 비정상 결제가 이뤄진 사실을 확인한 것으로 파악됐다. 정부의 소극적 행정에 대한 지적도 제기된다. 과학기술정보통신부는 2014년 통신 과금 서비스와 관련한 피해 민원이 발생한 경우 통신사가 민원 처리를 주도적으로 처리하도록 하는 ‘피해구제 원스톱 서비스’를 도입한다고 발표했지만 유명무실하다. KT의 서버 침해 사건과 관련해 경찰이 입건 전 조사(내사)에 착수했다. 경찰청 국가수사본부 사이버테러수사대는 정보통신망 침입 혐의로 신원 미상의 해커에 대한 내사를 진행 중이다.

유튜버 쯔양(본명 박정원)이 다음달 진행되는 국회 과학기술정보방송통신위원회(과방위) 국정감사에 출석한다. 쯔양은 사이버렉카(악성 루머를 짜깁기·양산해 돈을 버는 사람) 피해자 중 한 사람으로 증언할 예정이다. 23일 국회 과방위에 따르면 오는 24일 전체회의에서 국정감사 증인과 참고인 출석 요구안을 의결할 예정이다. 참고인 명단에는 쯔양과 쯔양의 법률대리인인 김태연 변호사가 포함됐다. 요구안이 의결되면 쯔양은 과방위 국정감사에 출석한다. 앞서 유튜버 구제역(본명 이준희)과 주작감별사(본명 전국진)는 2023년 2월 쯔양에게 “네 사생활, 탈세 관련 의혹을 제보받았다. 돈을 주면 이를 공론화하지 않겠다”며 겁을 줘 5500만원을 뜯어낸 혐의로 재판에 넘겨졌다. 구제역은 지난 5일 항소심에서 원심과 같이 징역 3년을 선고받았다. 김장겸 국민의힘 의원은 쯔양을 참고인으로 신청해 그의 증언을 통해 사이버렉카 문제의 심각성을 공론화할 예정이다. 또 유튜브 등 플랫폼이 취한 피해자 보호 조치와 수익·조회수를 위해 방조했는지 따져 종합대책을 마련할 계획이다.

폐기된 줄 알았던 KT의 ‘서버 로그’가 백업돼 있다는 게 드러나면서 해킹 조사가 탄력을 받을 것으로 보인다. KT와 롯데카드 등 통신·금융권에서 연달아 해킹 사고가 터지자 정부는 이 기업들의 정보 보호 체계를 전면 재정비하는 종합 대책을 내놓기로 했다. 22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 지난 15일 폐기된 서버의 로그가 백업돼 있음을 확인하고 이를 18일 임원회의를 거쳐 같은 날 저녁 합동조사단과 공유했다. 서버 로그는 서버에서 발생한 모든 작업과 접근 기록을 담은 파일이다. 해킹 사고가 발생했을 때 누가, 언제, 어떤 방식으로 시스템에 접근했는지를 추적하는 데 핵심 증거가 된다. KT는 지난 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹이 서버 폐기로 조사가 어렵다는 입장이었으나 관련 기록 보관이 확인돼 분석이 가능할 것으로 보인다. 다만 서버 폐기와 관련한 KT의 번복 해명은 의혹을 더욱 키우고 있다. KT는 한국인터넷진흥원(KISA)이 자료 제출을 요구한 지난달 12일 서버를 폐기해 자료 제출이 불가능하다고 했다고 했지만, 총 8대의 관련 서버 중 2대는 당시 보관 중이었으며 다음날 폐기한 것으로 드러났다. KT 측은 “담당 부서가 해당 서버의 서비스를 8월 1일 종료했다고 해 서버도 폐기한 줄 알았다”고 뒤늦게 해명했다. KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 ‘프랙 매거진’의 발표로 시작됐다. 프랙은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 대한민국 주요 정부와 군 기관, 주요 통신사에 지속해서 해킹 공격을 했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다. 이후 무단 소액 결제 사건이 발생했는데, KT 해킹 의혹과 이번 소액 결제 사건과의 연관성은 추가 조사가 필요한 상황이다. 김민석 국무총리는 이날 통신사 및 금융사 해킹 사고와 관련한 긴급 현안점검회의에서 “관계부처 장관께서는 사태 수습과 해결에 있어서 해킹과의 전쟁에 임한다는 각오로 임해주시기 바란다”고 당부했다. 국가안보실은 전 국가적 보안 점검을 토대로 해킹 관련 종합 대책을 수립해 이달 말 관계부처 합동으로 발표할 예정이라고 밝혔다. 개인 정보를 유출했을 때 페널티는 강화될 전망이다. 국회 정무위원회 소속 민병덕 더불어민주당 의원실이 개인정보보호위원회 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8854만 3000여건의 개인 정보가 유출된 것으로 확인됐다. 건당 평균 과징금·과태료 합산 금액은 1019원 정도였다.

무단 소액결제 사건으로 불거진 KT의 보안 부실 문제가 더욱 확대되는 모습이다. KT의 서버 침해 정황이 확인되면서 가입자의 개인정보가 유출됐을 가능성이 커지는 가운데 무단 소액결제 피해가 발생한 지역도 당초 알려진 것보다 훨씬 범위가 넓은 것으로 파악되고 있다. 관련 사실을 인지한 뒤 발표나 신고하는 데 시간이 걸리면서 ‘축소·늑장 대응’이라는 지적도 나온다. 21일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 전날 KT로부터 받은 ‘인증 시간 기준 피해 지역 자료’에 따르면 무단 소액결제가 발생한 지역에는 경기 광명·부천·과천시, 서울 금천·영등포구, 인천 부평구 등 경찰의 수사 범위를 넘어 서울 동작구와 서초구, 경기 고양시 일산동구까지 포함돼 있다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실도 많은데 이제야 주요 정보를 내놓는 것이 이해되지 않는다”고 지적했다. 이에 대해 KT는 “(언급된) 피해 지역은 (범행이 발생했을 것으로) 보이는 ‘추정 위치’로 수사를 통해 확인이 필요하다”는 입장을 밝혔다. KT에서 서버 침해 흔적이 발견되면서 개인정보가 무더기로 빠져나갔을 가능성도 제기된다. KT는 지난 18일 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다. 지난 4월 SK텔레콤 해킹 사고 이후 외부 보안 전문 기업에 의뢰해 전사 서버를 약 4개월에 걸쳐 조사한 결과인데, 어떤 정보가 유출됐는지는 향후 민관 합동조사단의 조사 결과를 기다려 봐야 한다. 서버 해킹과 이번 무단 소액결제 사건의 연결성을 규명하는 것도 과제다. KT는 불법 초소형 기지국(펨토셀)을 통해 빼돌린 정보만으론 소액결제를 할 수 없으며 복제폰 가능성은 없다는 입장이었지만 서버가 해킹당하면서 해커나 혹은 해커 조직이 서버 해킹을 통해 필요한 정보를 빼돌려 복제폰을 만든 다음 무단 소액결제에 사용했을 가능성도 배제할 수 없다. 일각에선 KT의 대응에도 문제가 있다고 지적한다. 최수진 국민의힘 의원이 확보한 KISA 침해 사고 신고에 따르면 KT가 이번 서버 침해 사고를 인지한 시점은 지난 15일 오후 2시였으나 KISA에 신고한 건 사흘 후인 18일 오후 11시 57분이었다. KT는 “보안 업체의 점검 결과 보고서를 내부에서 검증하는 데 시간이 필요했다”고 했지만 신고를 9시간 앞둔 같은 날 오후 3시 공식 브리핑에서도 서버 해킹 사실을 따로 언급하지 않았다. 이에 대해 KT 측은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고, 서버 점검은 정보보호최고책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족으로 정보 공유가 안 돼 발생한 일이라고 밝혔다. 올해 SK텔레콤에 이어 KT, 롯데카드까지 정보 유출 사고가 잇따라 발생하면서 보안에 관한 위기의식도 높아지고 있다. 최경진 가천대 인공지능·빅테이터정책연구센터장은 “그동안 보안 투자에 소극적이었다는 사실이 드러난 사건”이라며 “(펨토셀과 같은) 디지털 자산을 관리하는 것에도 관심을 기울여야 한다”고 제언했다. 정부는 기업들이 고의로 침해 사고 사실을 늦게 신고하거나 신고하지 않을 경우 과태료 등의 처분을 강화할 계획이다. 또 보안 사고 발생 시 사회적 파장에 상응하는 책임을 지도록 징벌적 과징금 도입을 추진한다.

KT 무단 소액결제 피해 지역이 당초 알려진 곳 외에 서울 서초구·동작구, 경기 고양시 일산동구 등에서도 발생했던 사실이 뒤늦게 파악됐다. 서울 서남권과 인근 경기 지역에 집중됐던 것으로 파악됐던 무단 결제 피해가 서로 떨어진 지역에서도 확인됨에 따라 KT 소액결제 이용자에 대한 전수조사 및 수사 확대 필요성이 커졌다. 20일 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에게 제출한 인증 시간 기준 피해 지역 자료에 따르면 알려진 곳들 외에도 서울 동작구, 서초구, 고양시 일산동구, 영등포구 등이 포함됐다. 동작·관악·영등포·서초·광명·금천·일산동구·과천·부천소사·부평 KT는 처음 피해가 발생한 시점을 8월 5일로 파악했는데 이때부터 8일까지 나흘간 서울 동작구, 관악구, 영등포구 일대에서 15명이 26차례에 걸쳐 962만원의 피해를 봤다. 범행을 저지른 이들은 8일, 그리고 주말을 건너뛴 11일 이틀에 걸쳐서는 서울 서초구에서 3명을 상대로 모두 6차례에 걸쳐 무단으로 소액결제 227만원을 가로챘다. 12~13일에는 경기 광명시에서, 15일에는 서울 금천구, 20일 경기 고양시 일산동구, 21일 경기 과천시에서 무단 소액결제 범행을 이어갔다. 나흘간 범행을 잠시 멈춘 뒤 26일부터 기존에 알려진 대로 금천구, 광명시, 경기 부천시 소사구·부평구 등에서 다시 활동했다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실들도 많은데 이제야 찔끔찔끔 주요 정보를 내놓는 것이 이해되지 않는다”고 비판했다. 심지어 KT 무단 소액결제 사건이 처음 알려진 9월 4일과 5일에도 100건 가까운 무단 결제가 있었던 것으로 나타났다. 비정상적인 결제 시도를 KT가 차단하기 직전까지 무단 소액결제가 상당 규모 진행된 것이다. 최초로 알려진 4일 이용자 36명에게서 36건의 피해(2499만원)가 있었고, 5일 11명이 14건(550만원) 무단 소액결제 피해를 봤다. 패스앱·카카오톡 무단 접속 피해 제보도…KT 소극대응 논란 KT는 4일과 5일에 피해 건수가 없었다고 국회에 보고한 바 있다. 이후 1차 발표에서 피해자 수를 278명으로 집계했다가 4일과 5일 피해를 뒤늦게 포함해 362명으로 정정했다. 피해 건수는 1차 집계 당시 527건에서 764건으로 늘었다. KT는 “5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다”고 밝혔다. KT 피해 현황이 초기 발표에서 점점 확대되는 것은 당초 자의적으로 자동응답전화(ARS)에 국한해 피해를 파악하고 소극적으로 대응하기 때문이라는 지적이 끊이지 않고 있다. KT는 해킹범이 피해자들의 휴대전화로 갔어야 할 ARS 신호를 탈취해 소액결제에 성공한 사례에만 주목해 피해 현황을 ARS 수신 상황만 따져 집계하고 있다. 그러나 연합뉴스에 따르면 이 사건을 최초로 제보한 경기 광명시의 A씨는 자신이 진행하지 않은 패스(PASS) 인증을 제삼자가 한 기록이 남아있다고 전했다. 또 카카오톡 무단 로그인을 겪은 피해자들도 있었다. 해킹범이 ARS 신호 탈취 외에 다른 범행 수법도 썼을 가능성까지 KT가 고려했어야 하는 것 아니냐는 지적이다. 황 의원은 “KT 해킹 사태의 전모가 밝혀지면 밝혀질수록 KT가 거짓 변명만 늘어놓았다는 사실이 드러나고 있다”면서 “지금이라도 소액결제가 이뤄진 모든 고객에게 직접 결제 현황을 고지하고 피해 전수조사에 나서야 한다”고 촉구했다. 그러면서 “고의적 축소 은폐 시도를 반복한 KT에 대해서는 SKT 때보다 더 강력한 제재와 함께 피해 배상 강제가 이뤄져야 한다”고 강조했다.

대전MBC 사장 재임 시절 법인카드를 사적 유용했다는 의혹을 받아온 이진숙 방송통신위원장이 검찰에 넘겨졌다. 대전 유성경찰서는 19일 업무상 배임 혐의를 받는 이 위원장을 검찰에 기소 의견으로 송치했다고 밝혔다. 이 위원장은 지난 2015년 3월부터 2018년 1월까지 대전MBC 사장으로 재직하면서 회사의 법인카드를 사적 용도로 사용해 회사에 손해를 끼친 혐의를 받는다. 경찰은 지난해 7월 국회 과학기술정보방송통신위원회 소속 더불어민주당 의원들의 고발로 수사에 착수했다. 이 위원장이 대전MBC 사장 재직 당시 학업을 병행한 서강대학교 대학원과 법인카드 사용처 등에 대해 압수 수색을 했고, 서울과 대전의 유명 빵집 등을 임의 수사해 관련 자료를 확보한 것으로 전해졌다. 경찰은 고발 1년 만인 지난 7월 이 위원장을 처음 소환조사한 후 총 네 번의 조사를 벌여 이 위원장이 법인카드를 사적 용도로 사용했다고 결론 내린 것으로 전해졌다. 이 위원장은 언론과 사회관계망(SNS)을 통해 줄곧 자신의 무죄를 주장해왔다. 이 위원장은 7월 5일 경찰에 처음 출석하면서 “10년 전 일을 지금 문제 삼아 저를 부르는 것은 대단히 정치적인 목적이 있다”며 “그동안 혐의점이 없어 부르지 않았다고 생각했는데 이제 손보는 거 아니냐고 생각을 할 수밖에 없다“고 말했다.

경기 광명·서울 금천 일대서 해킹中으로 출국했다가 입국 중 검거피해 금액 현금화한 B씨도 체포최소 한달 전 피해… KT 뒷북 논란 ‘KT 무단 소액결제’ 사건의 용의자인 중국 국적의 남성 2명이 경찰에 붙잡혔다. 경기남부경찰청 사이버수사과는 17일 정보통신망법 위반과 컴퓨터 등 사용사기 혐의로 중국교포 A(48)씨를 체포했다고 밝혔다. 또 범죄수익 은닉규제법 위반 혐의로 B(44)씨를 긴급체포했다. B씨는 A씨가 결제한 금액을 현금화한 혐의를 받고 있다. 경찰에 따르면 A씨는 지난달 말부터 이달 초까지 불법 소형 기지국 장비를 승합차에 싣고 경기 광명과 서울 금천구 일대를 돌며 KT 이용자들의 휴대전화를 해킹했다. 이 과정에서 피해자 명의로 모바일 상품권을 구매하거나 교통카드를 충전하는 방식의 소액결제가 이뤄졌다. 검거 과정에서 경찰은 A씨가 범행에 사용한 불법 소형 기지국 장비를 확보했다. A씨는 범행 사실을 인정했지만, 어떤 방식으로 피해자 휴대전화 정보를 빼내 결제까지 연결했는지는 확인되지 않았다. 경찰은 추가 공범 여부와 A씨와 B씨의 관계 등을 조사 중이다. A씨는 이미 중국으로 출국했다가 지난 16일 오후 인천국제공항으로 입국하던 중 검거됐다. 경찰은 같은 날 서울 영등포구에서 B씨도 긴급체포했다. 두 사람은 합법 체류 자격으로 한국에 머물며 일용직 노동을 해왔으며, 통신 관련 전문 이력은 확인되지 않았다. 경찰은 두 사람에 대해 구속영장을 신청할 방침이다. 범행 동기와 경위를 규명하는 한편 피해 규모와 추가 연루자를 확인할 계획이다. 이런 가운데 사건이 최소 한 달 전부터 이어졌지만, KT가 뒤늦게 대응에 나서 피해가 커졌다는 비판도 제기된다. 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원실에 따르면, 피해는 지난달 5일부터 발생했지만 KT가 공식 확인한 시점은 한 달 뒤였다. 특히 지난달 21일을 전후해 피해 건수가 급증했는데도 KT는 수사기관 통보를 받고도 즉각 대응하지 않아 이달 2~3일에만 100건 넘는 피해가 추가됐다. 과학기술정보통신부와 한국인터넷진흥원(KISA)에 따르면 KT가 자체 집계한 피해 건수는 278건, 피해액은 약 1억 7000만원에 달한다.

KT 무단 소액결제 사태가 최소 지난달 초부터 이어져 온 것으로 나타났다. 초기에 KT가 적극적으로 대응하지 않아 피해가 커진 게 아니냐는 지적이 나온다. 17일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원실이 KT로부터 제출받은 자료에 따르면 KT가 파악한 피해 고객 수와 결제 건수는 지난달 5일부터 이달 3일까지 278명, 총 527건이다. 피해는 총 16일에 걸쳐 발생했는데 문제는 최초 발생일(8월 5일)이 언론 보도로 관련 사태가 알려지기 시작한 시점보다 한 달이나 앞서 있었다는 점이다. 일일 한 자릿수에 머물던 무단 소액결제는 8월 21일과 26일에 각 33건, 27일에는 106건으로 급증했다. 이후에도 결제 건수는 두 자릿수에서 오르내려 뚜렷이 늘어난 추세를 보였다. 특히 8월 21일을 기점으로 피해 규모가 확대된 점을 들어 일각에선 해커들이 사전에 예행연습을 거쳤다는 추측도 나온다. KT는 이달 1일 수사기관으로부터 소액결제 피해 분석을 요청받았다. 당시엔 일반적인 스미싱 가능성이 크다고 판단해 즉각 대응하지 않았는데, 그러는 사이 2일과 3일 이틀간 109건의 피해가 추가로 발생했다. KT가 비정상 결제를 차단한 건 5일 새벽부터였고 이후엔 유사한 사례가 발생하지 않고 있다. KT는 “수사 문의를 받은 후 구체적 피해 명단 확인과 원인 파악에 최소한의 시간이 필요했다”면서 “사전에 확인하고 조치하지 못한 점에 대해 송구하다”고 밝혔다. 황 의원은 “최소 8월 5일부터 이상 신호가 있었는데 KT의 축소·은폐 시도로 피해가 막대해졌다”며 “과학기술정보통신부가 즉각적인 전수조사를 통해 피해 상황을 국민께 소상히 보고하고 축소·은폐 행위를 발본색원해야 한다”고 했다.

KT 무단 소액결제 사태의 피해자가 약 200명으로 늘어난 가운데, 반복되는 통신사의 보안 불감증에 대한 비판이 커지면서 해외 사례에도 관심이 쏠리고 있다. 15일 이동통신 업계에 따르면 KT 사태와 유사하게 통신망 허점을 노린 결제 사고는 미국·일본 등 선진국에서도 종종 발생했다. 2022년 미국에서는 암호화폐 거래서 FTX 해킹 사태가 발생했다. 미국 유력 이동통신사인 AT&T의 본인인증 시스템 취약점을 노린 범죄였다. 미 법무부는 지난해 2월 FTX를 해킹해 4억 1500만 달러(한화 약 5146억 원) 상당의 가상화폐를 빼돌린 해커 일당 3명을 기소했다. 2019년에는 AT&T와 버라이즌 직원과 협력업체 관계자가 뇌물을 받고 심 스와핑(SIM Swapping) 범죄에 가담했다가 기소되기도 했다. 심 스와핑은 해커가 타인의 전화번호와 개인정보(이름, 생년월일 등)를 이용해 이동통신사에 피해자를 사칭, 기존 사용자의 유심(USIM) 정보를 복제하거나 재발급받는 방식의 범죄다. 복제한 심 카드를 휴대전화에 넣으면 피해자가 원래 받던 문자, 전화 인증 등을 해커가 모두 탈취할 수 있다. 미국은 유사 사건 방비를 위해 SIM 교체나 번호 이동 문서 처리 전 신원확인 절차를 의무화했다. 또 심 스와핑과 같은 시도가 발생할 경우 처리 전에 고객에게 반드시 통지하도록 했다. 일본에서는 2020년 당시 점유율 1위 통신사인 NTT도코모가 운영하는 전자결제 서비스 ‘도코모 계좌’에서 대규모 부정인출 사건이 발생했다. 공격자는 도용한 개인정보를 사용해 ‘도코모 계좌’를 만든 뒤 다른 사람의 예금을 무단으로 인출했다. 일본은 피해 발생 직후 신규 등록을 일괄 중단하고 피해 방지 대책에 나섰다. 또 결제 계좌 개설 과정에서 2단계 인증을 도입해 본인 확인 체계도 강화했다. 유럽에서는 소액결제 사기 및 과다 청구 사례를 미리 방지하기 위해 소액결제 상한선을 제한했다. 유럽연합(EU)은 2018년부터 이동통신 요금에 합산돼 청구되는 디지털 소액결제의 상한선을 건당 50유로(약 8만 1500원), 월 300유로(약 49만 원)로 제한하고 있다. 허술한 ARS 인증 고수, 결제대행사에 책임 돌리는 한국 통신업계국내에서는 지난달 27일 새벽 경기 광명·서울 금천 등 일부 KT 고객들의 휴대전화에서 본인도 모르게 소액결제가 진행된 것이 처음 확인된 뒤 유사한 피해 신고가 잇따라 접수됐다. 이번 사태는 범인이 불법 초소형 기지국(불법 기지국)을 통해 KT망에 접속, 개인 IMSI((가입자식별번호)등을 유출한 뒤 모바일 상품권 등으로 무단 소액결제를 일으키면서 발생했다. IMSI 유출로 인해 피해자 본인 인증 없이 결제가 이루어졌고, KT 알뜰폰 이용자까지 영향을 받은 것으로 파악된다. 지난 12일까지 경찰에 신고된 무단 소액결제 피해자는 총 199명, 피해액은 1억 2600만원으로 늘어났다. KT 자체 집계는 278건, 피해 규모는 1억 7000만원으로 더 많으며 피해자가 인지하지 못한 추가 사례도 확인하고 있다. 소액 결제의 허점이 그대로 드러난 해킹 사례는 이번이 처음이 아니지만 KT가 그동안 안일한 태도로 문제를 대한 탓에 피해가 눈덩이처럼 불어났다는 지적이 나온다. KT는 지난 10일 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)이 사건이 가장 빈번히 일어났을 것으로 추정되는 지난달 27일부터 열흘간의 소액결제 이용자 수, 이용 금액 등을 요구하자 “월별 관리 중으로 정확한 현황을 추출하지 못한다”고 답변했다. 이에 황 의원은 “로그기록과 요금이 모두 시스템상 남아있음에도 전체 소액결제 거래 현황은 파악할 수 없다는 KT의 의문스러운 태도가 결국 해킹 피해 규모를 축소하기 위한 것 아니냐”고 지적했다. 현행법상 기업이 먼저 신고하기 전까지는 현장 조사 불가일각에서는 KT 등 국내 통신 업계가 이미 문제가 입증된 소액 결제의 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 소비자 분쟁이 발생하면 앱스토어 운영자나 결제대행사(PG)에 책임을 돌리고 있다는 비난을 내놓는다. 특히 KT 무단 결제 사고의 경우 경찰이 KT에 미리 집단피해 사실을 알렸음에도 “해킹 정황이 없다”고 자체 판단하고 침해 신고를 뒤늦게 한 사실이 알려져 논란이 됐다. 현행법에 따르면 해킹 등 사이버 침해 사고를 당한 기업이 스스로 정부에 신고하기 전까지는 직권 현장 조사가 불가능하다. 당국이 나서서 선제 조처를 취하는 데 한계가 있다는 의미다. 배경훈 과학기술정보통신부 장관은 12일 기자간담회에서 KT 무단 결제 사고 대응과 관련한 질의에 “원인 분석도 중요하지만, 신고 이후에나 조사를 진행할 수 있는 체계를 바꿔야 한다”며 “국화와도 논의 중이며, 정부와 국회 차원에서 할 수 있는 최대한의 고민을 하고 있다”고 밝혔다. 이어 “개인정보도 많고, 워낙 통신 활용도가 높다 보니 통신사를 대상으로 사고가 자주 일어나는 것으로 본다”며 “단말기 제조사 관점에서도 해킹이 근본적으로 일어나지 않도록 관련 앱을 설치하거나, 통신사들도 스미싱 사고 발생이 없도록 차단하는 등 국가 차원에서 종합 보안 대책이 필요하다고 본다”고 덧붙였다.

KT 소액결제 해킹 사건의 진상이 드러날수록 KT와 규제기관의 관리 부실 가능성이 커지고 있다. 다른 통신사에서는 유사 사례가 발생하지 않은 가운데, KT의 허술한 관리 관행이 범행의 빌미를 제공했다는 지적이다. KT 새노조는 12일 ‘KT 소액결제 해킹 사태, 관리부실로 인한 인재’라는 제목의 성명을 통해 이번 사태의 핵심 원인으로 초소형 기지국(펨토셀) 관리 부실을 지목했다. 해킹 경로로 지목된 펨토셀은 KT가 협력업체와 공동 개발해 수년간 홍보해 온 제품으로, 이미 전국에 수십만 대가 설치되어 있다. 국회 과학기술정보방송통신위원회 소속 최수진 의원(국민의힘)에 따르면 SK텔레콤은 7000대, LG유플러스는 2만 8000대의 초소형 기지국을 운용하는 반면 KT는 무려 15만 7000대를 사용하고 있다. SK텔레콤과 LG유플러스는 초소형 기지국 설치 및 관리를 전문 기사가 하는 것을 원칙으로 고수하고 있다. 이에 반해 KT는 인터넷에서 ‘기가 아토’ 등 초소형 기지국을 직접 설치했다는 후기가 발견될 정도로 일반인이나 직원이 직접 설치하는 경우가 많았다. 심지어 이사 후 회수가 제대로 이뤄지지 않고 중고 거래 사이트에서 판매되기도 한 것으로 알려졌다. KT의 관리 소홀이 해커들이 비교적 쉽게 초소형 기지국을 입수하고 범죄에 악용할 수 있는 환경을 조성했다는 지적이 나오는 이유다. KT 새노조는 “현장 직원들에 따르면 고객이 인터넷을 해지하거나 이사할 때 가정에 설치된 초소형 기지국이 제대로 회수되지 않는 경우가 빈번했다”면서 “현재 전국에 설치된 수십만 대의 초소형 기지국이 잠재적 해킹 위험에 노출되어 있는 만큼, 전수 조사 및 필요 시 회수를 통해 위험 요소를 원천적으로 차단해야 한다”고 촉구했다. 아울러 초소형 기지국의 유선 인터넷 연결 구간이 해킹에 취약할 수 있다는 지적에 따라, KT가 취약한 보안망을 지속적으로 운영했는지, 그리고 규제 기관의 심사는 허술하지 않았는지 철저한 조사가 필요하다고 강조했다. 또한 이러한 보안 취약점을 잘 아는 내부자와의 연관성에 대해서도 KT와 관련 협력업체에 대한 조사를 실시해야 한다고 주장했다. 구재형 KT 네트워크기술본부장(상무)은 전날 서울 광화문사옥에서 열린 기자간담회에서 “전국에 15만개 이상의 팸토셀에 대해 전수 조사한 결과 현재까지 추가적인 불법 팸토셀의 존재는 발견되지 않았다”고 했다.

KT가 무단 소액결제 사태와 관련해 이용자 5561명의 개인 정보인 ‘가입자식별번호’(IMSI)가 유출된 정황을 확인해 이를 개인정보보호위원회에 신고했다. 전날까지 개인정보 유출은 없었다는 입장이었지만, 하루 만에 상황이 바뀌면서 김영섭 KT 사장을 비롯한 임직원이 나서 대국민 사과를 했다. 김 사장은 11일 서울 종로구 KT 광화문빌딩에서 “최근 특정 지역 일대에서 발생한 소액결제 피해 사건으로 크나큰 불안과 심려를 끼쳐드린 점에 대해 사과의 말씀을 드린다”며 “피해 고객들께는 100% 보상책을 강구하고 조치하는 한편, 재발 방지책 또한 만전을 기해 준비하겠다”고 고개를 숙였다. KT는 이번 사건과 관련해 추가 분석한 결과 2대의 불법 펨토셀에서 신호를 받은 1만 9000여명의 이용자 중 5561명의 IMSI가 유출된 정황을 발견했다고 밝혔다. 이 가운데 실제 소액결제가 발생한 고객은 전날 기준 278명(1억 7000만원)으로 피해자 숫자는 수십명가량 더 늘어날 전망이다. KT는 신호를 수신한 고객 1만 9000명 전체에 대해 유심 보호 서비스와 유심 교체 서비스를 제공할 방침이며, 추후 위약금 면제 등에 대해선 검토 중이라고 했다. 전국에 15만개 이상의 팸토셀에 대해 전수 조사한 결과 현재까지 추가적인 불법 팸토셀의 존재는 발견되지 않았다고 했다. 내부 소행 가능성도 제기됐지만 현재로선 알 수 없다는 입장이다. 펨토셀은 가정이나 소규모 사무실 내부에 설치해 통화 품질을 개선하고 데이터 속도를 높이는 데 사용되는 것으로 KT가 국내 최초로 상용화했다. 손바닥 크기 정도로 작아 해외에선 이를 모방한 가짜 기지국을 만들어 범죄에 이용하는 사례가 발생하고 있는데, 전문가들은 상용화 이전부터 펨토셀의 보안 취약성에 대해 지적해 왔다. 이번 사건의 정확한 범행 수법은 여전히 오리무중이다. 팸토셀을 통해 유출된 IMSI 정보만으로는 ARS 소액결제가 이뤄질 수 없기 때문이다. 이날 KT 광화문지사를 직접 방문해 이번 사고에 관한 조치 현황을 점검한 배경훈 과기부 장관은 국회 과학기술정보방송통신위원회 전체회의에서 해커가 무단 소액결제에 성공한 점을 감안했을 때 IMSI 외에 성명, 전화번호, 생년월일 등이 유출됐을 가능성을 묻자 “범인이 가지고 있을 것으로 추정된다”고 했다. 배 장관은 “민관 합동조사단을 꾸려 대응하고 있지만 초동 대응이 늦었다는 점에 대해 반성한다”면서 “(김 사장을) 직접 만나 피해 금액뿐 아니라 위약금 면제에 대해서도 적극적으로 대응하겠다고 약속받았다”고 말했다. SK텔레콤에 이어 KT까지 보안 문제가 불거진 가운데 개보위는 같은 날 중장기적으로 유출 사고가 반복되는 기업에 징벌적 성격의 과징금을 주는 방안 등이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.