KT 대표 “펨토셀 외주 허점” 인정과기부 차관 “복제폰 위험성 볼 것”28만명 중 19만명 재발급 등 조치MBK, 롯데카드 매각 계획 재확인증인 채택된 김병주 회장 불출석 24일 국회에서 열린 ‘KT·롯데카드 해킹 사태’ 청문회에서 여야 의원들이 해당 기업들의 관리 소홀과 늑장 대응에 대해 집중 추궁했다. 과학기술정보통신부는 이 자리에서 고의성이 확인되면 경찰 수사 의뢰 등에 나서겠다는 입장을 밝혔다. 김영섭 KT 대표는 이날 청문회에서 허술한 ‘초소형 기지국’(펨토셀) 관리와 늑장 대응 등으로 질타를 받았다. 김 대표는 경찰의 해킹 통보 후 8일이나 지나서야 신고한 것과 관련해 “당시 스미싱으로 오인해 대응이 늦어졌을 뿐, 은폐 의도는 없었다”고 해명했다. 김 대표는 사퇴 의사에 대해선 “사태 수습이 우선”이라며 유보하는 태도를 취했다. 해킹의 주요 경로로 지목된 펨토셀을 부실하게 관리했다는 지적도 잇따랐다. 김 대표는 “외주 관리 체계에 허점이 있었던 것은 인정한다”고 했다. 류제명 과학기술정보통신부 2차관은 “서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력 조치하겠다”고 했다. 그러면서 “(복제폰 생성 위험성도) 면밀히 보겠다”고 덧붙였다. 기업의 보안 부실로 인해 발생한 사태인 만큼 번호 이동 고객에 대한 위약금을 면제해야 한다는 지적이 거듭됐다. 김 대표는 “서버 해킹으로 개인 정보가 유출된 2만 30명에 대한 위약금 면제를 적극 검토하겠다”고 했지만, 전체 고객 위약금 면제 여부에 대해선 “최종 조사 결과를 보고 검토할 예정”이라며 선을 그었다. 류 차관은 “KT가 안전한 통신 제공의 의무를 위반했다면 당연히 위약금 면제 조치가 이루어져야 한다고 생각한다”고 말했다. KT는 무단 소액결제 사태와 관련해 올해 발생한 모든 인증 방식 내용 내역에 대해 전수조사를 실시할 계획이다. 이날 청문회에 출석한 조좌진 롯데카드 대표는 200GB 상당의 고객 정보 유출 사태와 관련 “카드 재발급이 100만명까지 밀려있는 상황으로 이번 주말까지는 대부분 해소가 될 것”이라고 밝혔다. 조 대표는 카드 재발급이 늦어지는 이유에 대해 “하루 24시간을 온전히 가동해서 재발급할 수 있는 캐파(Capa)가 6만장”이라며 이같이 답했다. 롯데카드는 지난달 보안패치 누락으로 해킹 사고가 발생해 회원 297만명의 정보가 유출됐다. KT 서버 해킹 사건과 달리 아직 피해액은 발생하지 않았지만 297만명 중 28만명은 연계정보(CI), 주민등록번호, 카드번호, 유효기간, 보안코드(CVC) 번호 등 부정 사용이 가능한 핵심정보까지 유출됐다. 롯데카드에 따르면 전날 오후 6시 기준 정보가 유출된 전체 고객 297만명 중 카드 재발급 신청을 한 이들은 약 65만명, 카드 비밀번호 변경은 82만명, 카드 정지 11만명, 카드 해지 4만명 등으로 집계됐다. 특히 CVC 번호 등 핵심 정보가 유출된 고객 28만명 중에는 19만명(68%)에게 카드 재발급, 비밀번호 변경, 카드 정지·해지 등 조치를 했다. 롯데카드는 신용정보법과 개인정보보호법을 근거로 총 800억원 이상의 과징금을 부과받을 위기다. 롯데카드는 향후 5년간 1100억원의 정보 보안 투자를 후속 대책으로 내세웠으나, 최대주주인 사모펀드 MBK파트너스의 윤종하 부회장은 이날 청문회에서 보안투자를 강화하겠다면서도 롯데카드 매각 계획을 재확인했다. 증인으로 채택된 김병주 MBK파트너스 회장은 불출석했다.

KT 무단 소액결제 피해가 가입 기간에 관계없이 전 세대에 걸쳐 광범위하게 발생한 것으로 나타났다. 피해 지역은 경기 광명시에 집중된 것으로 확인됐다. 23일 국회 과학기술정보방송통신위원회 소속 국민의힘 김장겸 의원실이 KT로부터 제출받은 자료에 따르면, 현재까지 집계된 피해자는 총 362명으로 여기에는 20년 이상 장기 가입자(10명)도 포함됐다. 가장 최근 피해자는 올해 7월 7일 신규 가입한 고객이었다. 피해자 362명 중에는 KT 고객이 아닌 KT 망을 이용하는 알뜰폰 가입자도 59명 포함됐다. 연령별로는 40대가 95명으로 가장 많았고, 30대와 50대가 각각 90명이었다. 20대 피해자는 36명, 60대 이상은 51명으로 전 세대에 피해가 발생했다. KT가 공식 집계한 지역별 피해 현황을 보면, 전체 피해자의 64%(233명)는 광명시에서 발생했다. 이어 서울 금천구(59명), 경기 부천시 소사구(22명) 순이었다. 문제는 피해자 중 추가 보안 서비스에 가입한 이용자가 14명(4%)이나 있었다는 점이다. 과방위 소속 이상휘 국민의힘 의원이 KT로부터 받은 자료에 따르면 피해자 중 5명은 ‘휴대폰 안심결제서비스’에, 7명은 ‘ARS안심인증부가서비스’에 가입해 있었다. KT고객센터에는 이미 지난달 27일부터 이달 2일까지 총 6건의 피해 신고가 들어왔지만, KT는 지난 1~2일 경찰로부터 소액결제 피해를 분석해 달라는 요청을 받은 뒤에야 비정상 결제가 이뤄진 사실을 확인한 것으로 파악됐다. 정부의 소극적 행정에 대한 지적도 제기된다. 과학기술정보통신부는 2014년 통신 과금 서비스와 관련한 피해 민원이 발생한 경우 통신사가 민원 처리를 주도적으로 처리하도록 하는 ‘피해구제 원스톱 서비스’를 도입한다고 발표했지만 유명무실하다. KT의 서버 침해 사건과 관련해 경찰이 입건 전 조사(내사)에 착수했다. 경찰청 국가수사본부 사이버테러수사대는 정보통신망 침입 혐의로 신원 미상의 해커에 대한 내사를 진행 중이다.

폐기된 줄 알았던 KT의 ‘서버 로그’가 백업돼 있다는 게 드러나면서 해킹 조사가 탄력을 받을 것으로 보인다. KT와 롯데카드 등 통신·금융권에서 연달아 해킹 사고가 터지자 정부는 이 기업들의 정보 보호 체계를 전면 재정비하는 종합 대책을 내놓기로 했다. 22일 국회 과학기술정보방송통신위원회 소속 박충권 국민의힘 의원이 KT로부터 받은 자료에 따르면 KT는 지난 15일 폐기된 서버의 로그가 백업돼 있음을 확인하고 이를 18일 임원회의를 거쳐 같은 날 저녁 합동조사단과 공유했다. 서버 로그는 서버에서 발생한 모든 작업과 접근 기록을 담은 파일이다. 해킹 사고가 발생했을 때 누가, 언제, 어떤 방식으로 시스템에 접근했는지를 추적하는 데 핵심 증거가 된다. KT는 지난 5월 22일부터 이달 5일까지 외부 보안업체를 통한 자사 서버 전수조사를 진행했는데, 이 과정에서 해당 서버 로그 역시 백업된 사실을 뒤늦게 파악한 것으로 알려졌다. 당초 당국은 해당 의혹이 서버 폐기로 조사가 어렵다는 입장이었으나 관련 기록 보관이 확인돼 분석이 가능할 것으로 보인다. 다만 서버 폐기와 관련한 KT의 번복 해명은 의혹을 더욱 키우고 있다. KT는 한국인터넷진흥원(KISA)이 자료 제출을 요구한 지난달 12일 서버를 폐기해 자료 제출이 불가능하다고 했다고 했지만, 총 8대의 관련 서버 중 2대는 당시 보관 중이었으며 다음날 폐기한 것으로 드러났다. KT 측은 “담당 부서가 해당 서버의 서비스를 8월 1일 종료했다고 해 서버도 폐기한 줄 알았다”고 뒤늦게 해명했다. KT 해킹 의혹은 지난 8월 글로벌 해킹 권위지 ‘프랙 매거진’의 발표로 시작됐다. 프랙은 화이트해커의 제보를 토대로 북한 해커 그룹으로 알려진 ‘김수키’가 대한민국 주요 정부와 군 기관, 주요 통신사에 지속해서 해킹 공격을 했으며, KT의 경우 인증서(SSL 키)가 유출된 정황이 발견됐다고 전했다. 이후 무단 소액 결제 사건이 발생했는데, KT 해킹 의혹과 이번 소액 결제 사건과의 연관성은 추가 조사가 필요한 상황이다. 김민석 국무총리는 이날 통신사 및 금융사 해킹 사고와 관련한 긴급 현안점검회의에서 “관계부처 장관께서는 사태 수습과 해결에 있어서 해킹과의 전쟁에 임한다는 각오로 임해주시기 바란다”고 당부했다. 국가안보실은 전 국가적 보안 점검을 토대로 해킹 관련 종합 대책을 수립해 이달 말 관계부처 합동으로 발표할 예정이라고 밝혔다. 개인 정보를 유출했을 때 페널티는 강화될 전망이다. 국회 정무위원회 소속 민병덕 더불어민주당 의원실이 개인정보보호위원회 자료를 분석한 결과, 2021년부터 올해 7월까지 451건의 사고로 8854만 3000여건의 개인 정보가 유출된 것으로 확인됐다. 건당 평균 과징금·과태료 합산 금액은 1019원 정도였다.

결제 피해 362명 청구 조정·환불‘피해 여부 조회 시스템’서도 확인2만명 피해 우려… 유심 무상교체대리점 방문하거나 택배 수령 가능통신사 위약금 면제 전향적 검토KT 무단 소액결제 사태에 이어 서버 해킹 소식까지 전해지면서 가입자의 불안이 가중되고 있다. 소액결제 피해 범위도 알려진 것보다 넓다. 피해 확인 방법과 추후 피해 가능성, 유심 교체와 위약금 면제 여부 등 소비자들이 궁금해 하는 내용을 일문일답으로 정리했다. -무단 소액결제 피해 여부를 알고 싶다. “KT에 따르면 이번 사건을 통해 실제 결제 피해를 본 고객은 362명이며, 피해 금액은 2억 4000여만원이다. 이 중 278명은 청구 조정을 완료했고, 나머지 84명은 신용카드 선결제가 이뤄진 고객이라 환불 처리를 진행했다. 또 개인정보 유출 정황이 있는 고객은 2만여명으로, KT는 지난 18일 오후 3시 이전까지 이들에게 문자 발송을 완료했다. 별도의 문자를 받지 못한 고객 중 피해가 의심되는 고객은 ‘피해 여부 조회 시스템’(check.kt.com)에서 개인정보 유출 정황과 소액결제 피해 여부를 확인할 수 있다. 24시간 운영되는 전담 고객센터에 직접 물어보는 것도 가능하다.” -소액결제 피해 지역이 아니면 안심해도 되나. “KT는 ‘지난 5일 새벽 비정상적인 소액결제 시도를 차단한 이후 무단 소액결제 피해는 발생하지 않고 있다’고 밝혔다. 하지만 KT 측이 당초 발표한 것보다 피해 지역이 확대되고 있어 안심하기는 이르다.” -모르는 새 소액결제가 될까 봐 걱정된다. 복제폰이 사용됐을 가능성은. “KT는 무단 소액결제 재발 방지를 위해 3개월간 사용 이력이 없는 초소형 기지국(펨토셀) 4만 3000여대의 연동을 해지했고, 사기탐지시스템(FDS) 모니터링 등을 시행하고 있다. 지난 5일 이후 추가 피해는 확인되지 않고 있지만 혹시 불안하다면 ‘마이KT 앱’이나 KT 홈페이지(www.kt.com)에서 소액결제 한도를 0원으로 설정하거나 원천 차단할 수 있다. 대리점을 방문하거나 고객센터(080-722-0100)에 연락하는 것도 방법이다. KT는 앞서 복제폰을 만들 때 필요한 인증키 값은 유출되지 않았다고 밝혔으나, 서버 침해로 이 또한 유출됐을 가능성이 생겼다. 출처가 불분명한 문자와 메시지의 링크(URL)를 클릭하지 말고, 지문이나 안면 인식과 같은 보안성이 높은 생체 인증 등을 추가로 결합한 이중 인증 체계를 설정해야 한다.” -결국 유심을 교체해야 안전한 거 아닌가. “유심을 교체하면 기존 정보를 통한 추가 악용을 차단할 수 있다. 현재 KT는 무단 소액결제 사건과 관련해 개인정보 유출 우려가 있는 2만여명의 고객을 대상으로 유심 무상 교체를 진행하고 있다. 온라인(앱과 홈페이지) 신청 후 택배로 받거나 대리점을 직접 방문해도 된다. 이들을 뺀 다른 고객들은 현재로선 유심 교체가 유료다. 금액이 부담스럽다면 무료로 지원되는 유심보호 서비스에 가입할 수 있다. 전 고객 정보가 유출된 정황이 드러난다면 SK텔레콤처럼 전체 유심 무상 교체를 실시할 수도 있다. KT의 올 2분기 기준 이동통신 가입자 수는 1984만 2000명이다.” -무단 소액결제 피해자인데 다른 통신사로 옮기고 싶다. 위약금은 어떻게 되나. “KT는 위약금 면제를 공식 발표하지 않았지만 ‘전향적으로 검토 중’이라고 했다. 서버 해킹 조사 결과에 따라 SK텔레콤처럼 전체 고객을 대상으로 일정 기간 위약금을 면제할 가능성도 있다.”

무단 소액결제 사건으로 불거진 KT의 보안 부실 문제가 더욱 확대되는 모습이다. KT의 서버 침해 정황이 확인되면서 가입자의 개인정보가 유출됐을 가능성이 커지는 가운데 무단 소액결제 피해가 발생한 지역도 당초 알려진 것보다 훨씬 범위가 넓은 것으로 파악되고 있다. 관련 사실을 인지한 뒤 발표나 신고하는 데 시간이 걸리면서 ‘축소·늑장 대응’이라는 지적도 나온다. 21일 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원이 전날 KT로부터 받은 ‘인증 시간 기준 피해 지역 자료’에 따르면 무단 소액결제가 발생한 지역에는 경기 광명·부천·과천시, 서울 금천·영등포구, 인천 부평구 등 경찰의 수사 범위를 넘어 서울 동작구와 서초구, 경기 고양시 일산동구까지 포함돼 있다. 황 의원은 “범행 지역과 시기에 대한 구체적 정보 등을 KT가 보다 빨리 공개했다면 수사에 도움이 됐을 사실도 많은데 이제야 주요 정보를 내놓는 것이 이해되지 않는다”고 지적했다. 이에 대해 KT는 “(언급된) 피해 지역은 (범행이 발생했을 것으로) 보이는 ‘추정 위치’로 수사를 통해 확인이 필요하다”는 입장을 밝혔다. KT에서 서버 침해 흔적이 발견되면서 개인정보가 무더기로 빠져나갔을 가능성도 제기된다. KT는 지난 18일 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다. 지난 4월 SK텔레콤 해킹 사고 이후 외부 보안 전문 기업에 의뢰해 전사 서버를 약 4개월에 걸쳐 조사한 결과인데, 어떤 정보가 유출됐는지는 향후 민관 합동조사단의 조사 결과를 기다려 봐야 한다. 서버 해킹과 이번 무단 소액결제 사건의 연결성을 규명하는 것도 과제다. KT는 불법 초소형 기지국(펨토셀)을 통해 빼돌린 정보만으론 소액결제를 할 수 없으며 복제폰 가능성은 없다는 입장이었지만 서버가 해킹당하면서 해커나 혹은 해커 조직이 서버 해킹을 통해 필요한 정보를 빼돌려 복제폰을 만든 다음 무단 소액결제에 사용했을 가능성도 배제할 수 없다. 일각에선 KT의 대응에도 문제가 있다고 지적한다. 최수진 국민의힘 의원이 확보한 KISA 침해 사고 신고에 따르면 KT가 이번 서버 침해 사고를 인지한 시점은 지난 15일 오후 2시였으나 KISA에 신고한 건 사흘 후인 18일 오후 11시 57분이었다. KT는 “보안 업체의 점검 결과 보고서를 내부에서 검증하는 데 시간이 필요했다”고 했지만 신고를 9시간 앞둔 같은 날 오후 3시 공식 브리핑에서도 서버 해킹 사실을 따로 언급하지 않았다. 이에 대해 KT 측은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고, 서버 점검은 정보보호최고책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족으로 정보 공유가 안 돼 발생한 일이라고 밝혔다. 올해 SK텔레콤에 이어 KT, 롯데카드까지 정보 유출 사고가 잇따라 발생하면서 보안에 관한 위기의식도 높아지고 있다. 최경진 가천대 인공지능·빅테이터정책연구센터장은 “그동안 보안 투자에 소극적이었다는 사실이 드러난 사건”이라며 “(펨토셀과 같은) 디지털 자산을 관리하는 것에도 관심을 기울여야 한다”고 제언했다. 정부는 기업들이 고의로 침해 사고 사실을 늦게 신고하거나 신고하지 않을 경우 과태료 등의 처분을 강화할 계획이다. 또 보안 사고 발생 시 사회적 파장에 상응하는 책임을 지도록 징벌적 과징금 도입을 추진한다.

금융당국이 롯데카드 해킹 사고와 관련해 현장검사를 연장했다. 피해 고객들 사이에서는 집단소송 움직임도 확산하고 있다. 19일 금융권에 따르면 금융감독원은 당초 이날 종료 예정이던 롯데카드 현장검사를 연장하기로 했다. 1차 검사에서 고객정보 유출 규모를 확정한 데 이어, 2차 검사에서는 보안 취약점과 법 위반 여부를 집중 점검 중이다. 검사 결과는 제재심의위원회 안건으로 상정돼 기관 제재 수위에 반영된다. 금융위와 금감원은 이번 사고를 “중대한 위법”으로 규정했다. 금융위 관계자는 “허술한 보안체계에 대해 강도 높은 책임을 물을 예정”이라며 최고 수위 제재를 예고했다. 업계에선 기관 경고 이상 중징계와 일부 영업정지, 임원 해임 권고 가능성이 거론된다. 사고 경위는 늑장 대응 논란을 낳았다. 해킹은 지난달 14일 발생했으나 롯데카드가 서버 이상을 인지한 것은 같은 달 26일이었다. 당국 신고는 9월 1일에야 이뤄졌고, 공식 발표는 지난 18일로 해킹 발생 후 37일이나 지나서였다. 피해 규모는 297만명에 달한다. 이 중 28만명은 카드번호·유효기간·보안코드(CVC)까지 유출돼 부정사용 위험이 크다. 나머지 269만명은 CI값, 내부식별번호 등 부차적 정보가 유출됐다. 롯데카드는 아직 실제 부정사용 사례는 확인되지 않았다고 설명했다. 피해 고객들의 집단소송 움직임도 커지고 있다. 네이버 카페 ‘롯데카드 개인정보유출 집단소송카페’ 회원 수는 1300명을 넘어섰고, 이 중 700명 이상이 소송 참여 의사를 밝혔다. 과거 카드사 유출 사건에서 1인당 7만~10만원 수준의 배상 판례가 있었던 만큼 이번에도 대규모 배상 책임이 예상된다. 이번 사태로 보안 인증 제도의 실효성 논란까지 나오고 있다. 롯데카드는 지난달 12일 금융보안원으로부터 최고 수준 보안 인증인 ISMS-P를 받았지만, 같은 날 첫 해킹 시도가 이뤄졌기 때문이다. 금융권 안팎에선 “인증 제도를 근본적으로 손봐야 한다”는 목소리가 커지고 있다. 조좌진 롯데카드 대표는 “피해액 전액을 보상하겠다”며 사임 가능성까지 언급했지만, 여론은 가라앉지 않고 있다. 금융권 관계자는 “개별 회사 차원을 넘어 금융권 전반의 신뢰를 흔드는 사안인 만큼 제재 수위가 높아질 수밖에 없다”고 말했다.

무단 소액결제 사건에 연루된 KT의 서버 침해 정황이 확인됐다. 피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다. KT는 19일 전날 밤 11시 57분 한국인터넷진흥원(KISA)에 서버 침해 정황을 신고했다고 밝혔다. 회사 측은 서버 침해 흔적 4건과 의심 정황 2건을 확인해 신고했으며, 이번 사실은 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안 전문 기업에 의뢰해 약 4개월간 전사 서버를 조사하는 과정에서 드러났다고 설명했다. 다만 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다. KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다. 특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마에 오른다. 국회 과학기술정보방송통신위 소속 최수진 의원(국민의힘)이 확보한 KT의 KISA 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월15일 14시로 명시했다. 관련법은 기업이 해킹 피해를 최초로 확인한 시점에서 24시간 이내 신고를 의무화하고 있는데 사흘 뒤에야 당국에 신고한 것이다. 구재형 KT 네트워크기술본부장은 “소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 최고보안책임자(CISO) 쪽에서 별도로 진행해 상호 연결성이 없었다”며 사내 소통 부족을 이유로 들었다. KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다. 이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다. 피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다. 무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다. 구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 “그렇다”면서도 서버에서 유출된 정보에 대해선 “어제 밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다”고 말했다. KT는 최근 미국 보안 전문지 ‘프랙’이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다. 류제명 과기정통부 2차관은 “추가 피해 가능성을 낮게 본다”면서도 “전혀 없다고 단정하긴 어렵다”고 말했다. 한편 과기부와 금융위는 이날 합동 브리핑을 열고 사태의 엄중함을 강조하며 해킹 사고의 근본 대책을 마련하겠다고 밝혔다. 류제명 과기부 2차관은 “민관합동조사단이 KT 무단 소액결제 사태의 원인을 신속·철저히 규명하고 결과를 투명하게 공개하겠다”고 밝혔다. 조사단은 해커가 불법 초소형 기지국을 통해 KT 내부망에 어떻게 접속했는지, 개인정보는 어떤 경로로 확보했는지를 집중 조사 중이다. 류 차관은 “과기부는 현행 보안 체계를 원점에서 재검토해 임시방편 대응이 아닌 근본적 대책을 마련할 것”이라며 “기업이 침해 사실을 고의 지연 신고하거나 미신고할 경우 과태료를 부과하고, 정부가 직접 정황을 확보하면 기업 신고 없이도 철저히 조사할 수 있도록 제도를 개선하겠다”고 강조했다. 금융위도 금융권 해킹 대응 체계를 전면 강화하겠다고 밝혔다. 권대영 금융위 부위원장은 “롯데카드 조사 과정에서 당초 신고보다 큰 규모의 유출이 확인됐다”며 “소비자 보호 조치가 차질없이 이뤄지도록 면밀히 관리하겠다”고 말했다. 그는 “보안 투자를 불필요한 비용으로 여기는 금융권의 안이한 자세를 반성해야 한다”며 “금융사 CEO 책임 하에 전산 시스템과 보안 체계를 긴급 점검하고, 징벌적 과징금과 CISO 권한 강화 등 제도 개선에 즉시 착수하겠다”고 밝혔다. 그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다. 류 차관은 “국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중”이라며 “종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다”고 했다.

롯데카드에서 297만명의 고객 정보가 유출된 것으로 확인됐다. 조좌진 롯데카드 대표는 이날 서울 중구 부영태평빌딩에서 기자회견을 열고 “고객 여러분과 유관 기관 여러분께 심려를 끼쳐 진심으로 죄송하다”며 이같이 밝혔다. 롯데카드는 약 960만명의 회원을 보유한 업계 5위권 카드회사로, 전체의 약 3분의 1에 가까운 회원 정보가 유출된 셈이다. 조 대표는 “전체 유출 고객 중 유출된 고객 정보로 카드 부정 사용이 발생할 가능성이 있는 고객은 총 28만명”이라며 “유출 정보 범위는 카드번호, 유효기간, CVC번호(카드 뒷면 3자리 보안코드) 등”이라고 말했다. 이들의 경우 단말기에 카드 정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정사용 가능성이 있다고 했다. 이어 “해당 고객은 7월 22일과 8월 27일 사이 새로운 페이결제 서비스나 커머스 사이트에 사용 카드정보를 신규 등록한 고객”이라며 “카드 재발급 조치가 최우선적으로 이뤄지도록 하겠다”고 말했다. 나머지 269만명의 유출 정보는 ▲온라인 상 본인 확인에 쓰이는 연계 정보(CI) ▲ 내부식별번호 ▲가상 결제코드 ▲간편결제 서비스 종류 등이다. 조 대표는 “나머지 269만명은 일부 항목만 제한적으로 유출됐다”며 “해당 정보만으로 카드 부정사용이 발생할 가능성은 없다”고 말했다. 그러면서 “정보 유출은 온라인 결제 서버에 국한해 발생했고, 오프라인 결제와는 전혀 무관하다”며 “고객 성명도 유출되지 않았다”고 설명했다. 롯데카드는 현재까지 실제 부정 사용 사례는 확인되지 않았다고 설명했다. 회사는 전체 유출 고객을 대상으로 연말까지 무이자 10개월 할부, 거래 알림 서비스 무료 제공, 금융피해 보상 서비스 지원을 약속했다. 특히 28만명은 카드 재발급을 우선 추진하고 차년도 연회비를 전액 면제하기로 했다. 조 대표가 이날 직접 언급한 연회비 면제 비용만 최소 56억원에 달한다. 그는 “발생 가능한 2차 피해까지 포함해 전액 보상하겠다”며 “고객 피해 ‘제로화’를 최우선 과제로 삼겠다”고 강조했다. 금융위원회는 이날 긴급 대책회의를 열고 이번 사고를 “중대한 위법”으로 규정했다. “사실관계를 신속히 확정한 뒤 법 위반 사항에 대해 엄정히 조치하겠다”고 했다. 현행 여신전문금융업법상 개인정보 유출로 신용질서를 어지럽힌 경우 최대 6개월 영업정지와 수백억원대 과징금이 가능하다.

구글은 11개국에 29개 데이터센터를 두고 있다. 현재 8개국 14곳을 더 짓고 있다. 미국에 건설됐거나 건설 중인 데이터센터가 가장 많다. 아시아에서는 일본, 싱가포르, 대만 등에 있고 태국과 말레이시아에서 건설 중이다. 남미와 유럽에도 있거나 건설 중이다. 데이터센터는 대규모 컴퓨터 서버를 한곳에 모아 관리·운영하는 시설이다. 인공지능(AI), 빅데이터 등의 활용이 기업의 경쟁력을 좌우하면서 데이터센터가 중요해졌다. 데이터센터는 자연재해는 물론 화재, 이상 과열 등 어떠한 상황에서도 24시간 원활히 운영돼야 한다. ‘전기 먹는 하마’인지라 에너지 효율 문제도 중요하다. 국내외 유명 건설사들이 기술·수주 경쟁을 벌이고 있다. 한국은 산업용 전기료가 상대적으로 싸고 중국, 일본, 동남아를 잇는 지리적 이점이 있다. 마이크로소프트(MS)는 2020년과 2024년 부산에 데이터센터를 하나씩 지었다. 알리바바그룹이 운영하는 알리바바클라우드는 서울에 2곳을 두고 있다. 아마존웹서비스(AWS)는 지난 6월 SK와 함께 울산에 데이터센터를 짓겠다고 발표했다. 구글은 2011년부터 1대5000 축척 지도 반출을 요구하고 있다. 그제는 기자간담회를 열고 한국 정부 요구인 보안시설 가림 처리와 좌표 삭제를 수용하겠다고 했다. 데이터센터 설치는 여전히 거부했다. “데이터센터를 짓더라도 프로세싱은 해외에서 할 수밖에 없는 기술적 제약 조건”을 들었다. 구글의 데이터센터 현황을 보면 수긍하기 어렵다. 세금 회피 목적이라는 지적이 더 타당하게 들린다. 국내의 구글 관련 3개사가 지난해 낸 법인세는 240억원. 네이버(3902억원)·카카오(1591억원)는 물론 장악력과 비교해도 너무 적다. 고정밀지도 데이터는 자율주행, 디지털 트윈 등 미래산업의 핵심 요소다. 세금으로 구축한 공공재다. 구글의 정밀지도 반출 결정에 데이터 주권과 조세 주권이 반드시 고려돼야 하는 까닭이다. 전경하 논설위원

정밀 지도 반출 우려에 대응책 공개위성사진 속 보안시설은 가림 처리데이터센터 설립 요청엔 답변 유보정부, 11월 11일까지 승인 여부 결정 국내 정밀 지도 반출을 요구하는 구글이 위성사진 내 보안 시설을 ‘가림’ 처리하고, 국내외 이용자를 대상으로 좌표 정보를 삭제하라는 우리 정부의 요구를 수용하겠다고 밝혔다. 정부의 요구안 3가지 중 2가지를 받아들인 셈인데, 나머지 하나인 국내 서버 확보를 위한 데이터센터 구축에 관해선 명확한 답변을 내놓지 않아 사실상 거부하는 태도를 보였다. 구글은 9일 서울 강남구 구글 스타트업 캠퍼스에서 정밀 지도 반출에 관한 기자 간담회를 개최했다. 이를 위해 한국을 찾은 크리스 터너 구글 대외협력 정책 지식·정보 부사장은 “구글은 지도 데이터 반출 신청과 관련해 그간 제기됐던 우려 등을 해소하기 위해 한국 정부와 협력을 강화한다”며 “위성 이미지 속 보안 시설을 가림 처리하는 것에 더해 한국 영역의 좌표 정보를 구글 지도의 국내외 이용자에게 보이지 않도록 조치하라는 한국 정부의 요구 사항을 수용하겠다”고 밝혔다. 구글은 지난 2월 한국에서 정확한 길 찾기 서비스를 제공하려면 1대 5000 축적 수준의 정밀 지도 데이터가 필요하다며 고정밀 지도 반출을 요청했다. 앞서 2011년과 2016년에 이어 세 번째 요구다. 한국은 1대 2만 5000 축척 지도보다 자세한 고정밀 지도는 군사나 보안상의 이유로 해외 반출을 금지하고 있다. 터너 부사장은 이에 관해 “(한국 정부는) 1대 5000 지도를 ‘국가 기본도’로 분류하고 1대 1000 지도를 ‘고정밀 전자 지도’로 분류하고 있다”고 주장했다. 이에 대해 국토지리정보원은 1대 5000 지도를 ‘정밀 지도’라고 본다고 했다. 보안 시설 노출 시 즉각 시정을 위한 국내 서버 확보(데이터센터 설치)에 관해선 답변을 유보했다. 유영석 구글코리아 커뮤니케이션 총괄은 “데이터센터와 구글 지도는 크게 관련이 없다고 본다”면서 “데이터센터를 특정 지역에 설립하는 건 많은 요소를 고려해야 한다”고 말했다. 다만 “한국 정부가 원하는 즉각적인 대응을 위해 책임자를 두고 핫라인을 거쳐 우려 사항을 적기에 반영할 수 있도록 얘기하고 있다”는 했다. 정부는 구글이 보안 시설 가림 처리와 좌표 삭제, 국내 서버 설치라는 조건을 모두 받아들여야 한다고 강조했다. 정부 관계자는 “구글이 수용한 가림 처리와 좌표 삭제에 대해 (정부와) 구체적인 논의가 없었기 때문에 이제부터 해야 하는 상황”이라며 “진지하게 실행 계획을 협의해야 한다”고 말했다. 정부는 오는 11월 11일 지도국외반출협의체를 열고 최종 승인 여부를 결정한다.

SK텔레콤에 이어 KT와 LG유플러스까지 수개월간 해킹을 당한 정황이 드러나 정부가 조사에 나섰다. 과학기술정보통신부는 1일 “KT와 LG유플러스의 해킹 침해 사고 여부 확인을 위해 현장 점검을 하고 자료를 제출받아 정밀 포렌식 분석 중”이라고 밝혔다. 류제명 과기정통부 2차관은 이날 국회 과학기술정보방송통신위원회에서 “다크웹에 두 회사가 보유한 내용(데이터)이 올라온 것을 확인했다”고 밝혔다. 최민희 국회 과방위원장이 “KT는 서버가 파기됐다고 들었다”고 묻자, “그 사실도 확인했다. (해킹 흔적을 없애기 위해 파기했는지 여부는)확인해봐야 한다”고 답했다. 앞서 8월 초 미국의 해킹 전문지 ‘프랙 매거진’이 공개한 보고서에 따르면 화이트해커 두 명이 “‘KIM’이라는 공격자로부터 8GB(기가바이트)에 이르는 한국 기관·기업 유출 데이터를 확보했다”며 목록을 제보했다. KT에선 SSL(보안 인증서) 키 유출 정황이 발견됐다. LG유플러스에선 패스워드 관리 시스템(APPM) 소스 코드와 데이터, 8938개 서버 정보 등이 유출된 것으로 알려졌다. 행정안전부 행정전자서명(GPKI) 인증서와 외교부 메일 서버 소스 코드, 통일부·해양수산부의 업무관리시스템 소스 코드도 유출 목록에 포함됐다. KT와 LG유플러스는 앞서 자체 조사 등을 통해 “침투 흔적이 발견되지 않았다”고 밝힌 바 있다. 또 정부의 조사에도 적극 협조하고 있다고 밝혔다. 한편 롯데카드에서도 온라인 결제 서버 해킹으로 고객 정보가 유출된 정황이 포착돼 금융감독원이 현장 검사에 나섰다. 지난달 14~15일 1.7GB 규모의 내부 파일이 반출됐다. 롯데카드는 해킹 17일 만에 피해 사실을 파악했다.

나르왈·드리미·에코백스 취약 확인사진 탈취·실시간 영상 조회 위험 커삼성·LG전자는 ‘상대적 우수’ 평가 한국인터넷진흥원(KISA)과 한국소비자원이 국내 유통 중인 로봇청소기 6종을 대상으로 ‘보안 실태’를 점검한 결과 중국산 일부 제품에서 사생활 침해와 개인정보 유출 위험이 드러났다고 2일 밝혔다. 두 기관은 사업자에 즉각 조치를 요구했고, 현재는 개선이 완료된 것으로 알려졌다. KISA와 한국소비자원에 따르면 조사 대상은 나르왈 프레오 Z 울트라, 드리미 X50 Ultra, 에코백스 디봇 X8 프로 옴니, 로보락 S9 MaxV Ultra(이하 중국산), 삼성전자 비스포크(BESPOKE) AI 스팀, LG전자 코드제로 로보킹 AI 올인원 등 6개 제품이다. 점검은 모바일 앱 보안, 정책 관리, 기기 보안 등 3개 분야, 총 40개 항목을 대상으로 약 5개월간 진행됐다. 모바일앱 보안 부문에서는 나르왈·드리미·에코백스 3개 제품이 취약한 것으로 확인됐다. 나르왈과 에코백스는 사용자 인증 절차가 미비해 클라우드 서버에 저장된 집 내부 사진이나 영상을 별도 인증 없이 조회·탈취할 수 있는 위험이 드러났다. 에코백스의 경우 악성 파일을 사용자의 사진첩에 전송할 수 있는 문제도 있었다. 드리미 제품은 사용자가 일부 권한을 제3자에게 공유했을 때, 그 사람이 카메라 기능을 마음대로 켜서 실시간 영상과 사진을 볼 수 있는 취약점이 발견됐다. 또 정책 관리 점검 결과 드리미 제품에서는 사용자가 해당 브랜드 글로벌 웹사이트 게시판에 글을 작성하면 해커가 사용자 ID를 통해 별도 인증 없이 개인정보를 조회할 수 있었다. 기기 보안 점검에서는 드리미와 에코백스 로봇청소기의 외부 포트가 노출돼 누구나 쉽게 접근할 수 있었고, 인터페이스 차단이 미흡해 물리적 침투 위험이 존재했다. 반면 삼성전자와 LG전자 제품은 전반적으로 접근 권한 관리, 안전한 패스워드 정책, 업데이트 정책이 상대적으로 우수하다는 평가를 받았다. 과학기술정보통신부는 “로봇청소기 보안에 대한 소비자의 우려가 확대되는 상황”이라면서 소비자에게 구매 전 사물인터넷(IoT) 보안 인증 마크 확인, 안전한 비밀번호 설정, 주기적인 보안 업데이트 등을 당부했다.

롯데카드가 지난달 14일 해킹 공격을 당했으나 31일에야 이를 인지해 금융당국이 긴급 대응에 나섰다. 2일 금융감독원에 따르면 롯데카드 온라인 결제 서버가 지난달 14일 오후 7시 21분경 최초 해킹됐으며, 15일까지 이틀에 걸쳐 공격이 이어졌다. 유출된 데이터는 약 1.7GB(기가바이트)로, 카드 정보와 온라인 결제 요청 내역이 포함된 것으로 추정된다. 해커는 16일에도 추가 시도를 했으나 이때는 파일 반출에 실패했다. 문제는 롯데카드가 해킹 사실을 17일이 지난 31일 정오에야 파악했다는 점이다. 금융당국 신고는 9월 1일에 이뤄졌다. 이찬진 금융감독원장은 이날 임원회의에서 비상대응체계 가동을 지시했다. 또한 현장검사를 통해 사고 원인 및 피해 규모 등을 점검하라고 지시했다. 이 원장은 롯데카드 측에도 소비자 피해 최소화를 위한 방안을 마련하도록 조치했다. 아울러 롯데카드 고객이 원할 경우 손쉽게 카드를 해지 또는 재발급할 수 있도록 홈페이지에 별도 안내 절차를 마련할 것을 주문했다. 또 금융회사 등 금융권 전반에 자체 금융보안 관리체계를 전면 재점검할 것을 당부했으며, 관리 소홀로 인한 금융보안 사고에 엄정한 제재를 할 것이라고 강조했다. 전날 롯데카드로부터 해킹 공격 발생 사실을 보고 받은 금감원은 이날 금융보안원과 현장검사에 착수해 고객정보 유출 여부 등을 확인하고 있다. 롯데카드 측에 전용 콜센터를 운영하고 이상금융거래 모니터링을 강화하도록 했으며, 카드 부정사용 등 피해가 발생할 경우 전액 보상 절차를 마련하도록 조치했다. 여신전문금융업법 등에 따르면 카드사는 해킹 등에 따른 카드 부정사용이 발생할 경우 보상 책임을 부담해야 한다. 롯데카드는 백신 추가 설치와 악성코드 진단 조치를 실시하고, 정보 유출 가능 고객들에게 카드 비밀번호 변경을 안내할 예정이다.

지난 5일 구글코리아가 자사 블로그에 올린 지도 반출 요청에 관한 글을 읽었을 때 처음엔 또 규제 때문인가 했다. 구글은 한국 정부가 지도 반출을 허용해 주지 않아 전 세계 대부분의 국가에서 가능한 구글맵스의 길찾기 기능이 유독 한국에서만 되지 않는다고 했다. 여태 구글의 길찾기가 안 됐었다니 새삼 놀라워 구글지도를 켜 봤다. 지도를 바탕으로 내가 있는 위치까지 분명하게 잡혔다. 대중교통 정보도 떴다. 그러나 정말로 길찾기는 되지 않았다. 이번에는 애플지도를 켜 봤다. 애플도 구글과 마찬가지로 같은 종류의 지도 반출을 신청한 상태다. 그런데 애플지도는 구글이 지도가 없어서 못 한다던 길찾기 서비스를 하고 있었다. 구글과 애플이 한국 정부에 반출을 요청한 1대5000 축척의 국가지도는 50m 거리를 1㎝로 표현한 고정밀 수치지형도다. 이 지도는 도시계획이나 사회간접자본(SOC) 사업 등 주로 공공사업 목적으로 사용된다. 언뜻 구글의 주장만 보면 대부분의 나라는 이미 구글에 1대5000 지도를 제공하는 것처럼 보인다. 그러나 구글이 밝히지 않은 사실 중 하나는 한국처럼 국토 전체를 1대5000의 대축척 지도로 보유한 나라가 거의 없다는 점이다. 영국과 프랑스, 독일, 일본의 국가지도는 우리보다 낮은 1대2만 5000 축척(250m를 1㎝로 표현)이고, 일부 도심 지역에서만 1대5000 지도를 사용한다. 때문에 구글도 이런 나라들에선 한국에 요구한 1대5000 지도가 아닌 1대2만 5000 지도를 사용할 수밖에 없다. 실제 1대5000 축척의 국가지도를 내준 나라가 있는지 구글 측에 문의했지만, 구글은 나라마다 도심과 지형이 달라 적합한 지도가 다르다는 말 외에는 시원한 답변을 내놓지 못했다. 한국에서도 1대2만 5000 지도는 반출 허가 없이 사용할 수 있다. 구글에서 불가능한 길찾기가 애플에서 가능한 이유도 애플은 이 지도를 이용해 서비스하고 있어서다. 그런데도 구글은 이러한 사실을 쏙 뺀 채, 한국이 지도를 내주지 않아 길찾기 서비스를 하지 못하고 있다는 주장만 십수년째 되풀이하고 있다. 정부가 1995년부터 1조원 이상을 들여 완성한 국가 정밀지도는 그 자체로 국가 안보 자산이나 다름없다. 전문가들은 고정밀 지도를 구글의 위성 영상과 겹치면 군사시설 등이 노출될 수 있다고 우려한다. 러시아와 전쟁 중인 우크라이나에서는 구글 지도가 업데이트되면서 군사 기밀 시설이 노출돼 이를 다시 가리는 데 애를 먹은 사례도 있다. 이에 정부는 구글에 국내에 서버를 설치하고, 위성사진에서 보안 시설을 가리고, 좌표를 삭제하는 등 3가지 조건을 갖추면 지도 반출을 허용하겠다고 제안했다. 이는 네이버, 카카오 등 국내 사업자에게도 동일하게 적용된다. 특히 서버는 한국에 둬야 보안에 문제가 생겼을 때 우리 정부가 바로 대응할 수 있다. 그러나 구글은 위성사진의 가림 처리 외 다른 조건을 수용하지 않고 있다. 구글의 길찾기는 한국에서 못 하는 게 아니라 안 한다고 봐야 할 것이다. 신융아 산업부 기자

대부분 국가선 1:2만5000 서비스도심 안내 어렵다는 이유로 거절 안보 문제로 반출 거부해온 정부 한미 통상협상 뜨거운 감자 부상 민감 시설 가림 조건 수용했지만 국내 서버 설치 문제에는 미온적구글의 매출, 네이버의 3.6% 수준 납세도 불투명… 유료화 고려해야한미 정상회담을 앞두고 구글 등 해외 빅테크가 신청한 고정밀 국가지도 반출 여부를 놓고 관심이 뜨겁다. 구글은 지난 2월 한국 국가 지도를 1대5000 비율로 축척한 수치지형도를 해외 데이터센터로 내보내게 해달라며 반출 허가를 신청했다. 구글이 지도 반출을 요청한 건 2007년과 2016년에 이어 세 번째다. 애플 역시 지난 5월 지도 반출을 신청했다. 정부는 그간 안보 문제를 들어 반출을 허용하지 않았는데, 최근 한미 통상협상을 거치며 다시 수면 위로 떠오른 모습이다. 구글코리아는 지난 5일 자사 블로그에 올린 글에서 한국 정부가 지도 반출을 허용하지 않아 한국에서만 이용자가 구글 지도 서비스를 받지 못해 불편을 겪고 있다고 주장했다. 그러나 정부는 국내 서버 설치 없이 고정밀 지도를 내줄 경우 보안시설 노출 같은 안보 문제가 발생할 수 있다며 ▲위성 사진에서 보안시설 가림 처리 ▲상세 좌표 삭제 ▲국내에 데이터센터(서버) 설치 등을 요구했다. 지도 반출 여부를 결정하는 정부 협의체가 지난 8일 최종 결정을 10월로 연기한 가운데 관련 쟁점을 Q&A 형식으로 짚어 봤다. Q. 1대5000 축척 지도가 아니면 길 찾기 서비스는 불가능한가. A. 아니다. 구글과 마찬가지로 1대5000 지도 반출 허가를 받지 못한 애플은 이보다 낮은 1대2만 5000 축척 지도로 국내에서 길 찾기 서비스를 하고 있다. 1대5000 지도를 보유한 나라들이 많지 않아 구글이 서비스를 제공하는 대부분의 나라에서는 1대2만 5000 축척 지도가 길 찾기에 쓰이고 있다는 게 정부와 업계의 설명이다. 이에 대해 구글 측은 “나라마다 지형이나 도심 상황이 달라 그에 맞는 지도도 다를 수 있다”며 “1대2만 5000 지도는 1㎝에 250m 길이를 담으므로 복잡한 도심에서 상세한 길 안내를 제공하기엔 턱없이 부족하다”고 답했다. Q. 다른 나라 모두 구글에 1대5000 지도를 제공하고 있나. A. 구글은 1대5000 지도를 제공하는 나라에 대해선 밝히지 않고 있다. 하지만 국가별 정밀지도 구축 현황을 보면 1대5000 축척의 국가지도 데이터를 보유한 나라는 흔치 않다. 영국과 프랑스, 독일, 일본의 국가 전체 지도는 1대2만 5000 축척이며 일부 도시에 한해 대축척 지도가 있다. 미국, 캐나다, 중국의 국가지도는 이보다 축척이 안 좋다. Q. 구글은 위성 사진에서 안보상 민감 시설을 가림 처리하겠다고 밝혔다. 반출 허용 가능성은. A. 이 정도로는 안보 문제를 해소할 수 없다는 게 정부의 판단이다. 정부가 제시한 조건은 ▲위성 사진에서 보안 시설 가림 처리 ▲상세 좌표 삭제 ▲국내에 데이터센터(서버) 설치 등 세가지로, 구글은 이 가운데 한 가지만 받아들이겠다고 했다. 특히 국내 데이터센터 설치에 대해선 국내에 서버를 두더라도 길 찾기 기능이 제대로 작동하려면 전 세계 데이터센터로 지도를 내보내야 하므로 지도 반출 허가가 필요하다고 구글 측은 설명했다. Q. 국내에 서버를 둬야 하는 이유는 무엇인가. A. 국내에 서버가 있어야 보안 사항에 문제가 생겼을 때 바로 조치할 수 있다는 게 정부의 설명이다. Q. 세 가지 조건을 모두 충족하면 지도 반출은 허용되나. A. 정부는 가능하다는 입장이다. 애플에도 같은 조건을 제시했다. 애플은 구글보다 협상이 더 진척된 것으로 알려졌다. 다만 지도 반출을 한번 허용하면 향후 중국이나 러시아도 지도 반출을 요청할 때 거부하기 어려워 신중하게 결정해야 한다는 의견도 있다. Q. 네이버·카카오 등 국내 사업자와의 형평성 문제를 제기하기도 한다. A. 우리 정부는 고정밀 지도를 구축하는 데 1조원 이상의 재원을 투입했다. 네이버와 카카오 등은 국내에 서버를 두고 있으며 정부 규제를 따르고 있다. 이들이 국내에서 창출하는 부가가치가 적지 않으며 수익에 따른 세금 납부도 이뤄지고 있다. 그러나 국내에 서버도 두지 않은 채 규제와 세금은 피하고 지도만 제공받는 게 오히려 국내 사업자에 대한 역차별이라는 게 업계의 인식이다. 구글은 2004년 국내 법인 설립 후 한국에서 발생한 매출에 따른 납세 현황이 불투명하다는 지적도 제기된다. 구글코리아는 지난해 매출 3869억원, 법인세는 173억원을 냈다고 공시했는데 매출 10조 7377억원과 법인세 3902억원을 납부한 네이버와 비교하면 턱없이 적다. 이러한 차이가 발생하는 것은 구글이 한국에서 발생한 소득도 데이터센터(서버)가 있는 싱가포르에 신고하기 때문이다. 강형구 한양대 교수는 ‘글로벌 플랫폼이 국내 경제에 미치는 영향 연구’에서 구글의 국내 실매출은 4조~9조원, 이에 따른 세금은 3906억~9131억원에 이를 것으로 분석했다. Q. 해외 기업에 지도를 유료로 제공하는 방법은 없나. A. 영국에서는 상세한 지형과 지도 데이터를 상업적 용도로 사용할 땐 라이선스 비용이 발생한다. 우리 정부도 고정밀 지도에 대한 유료 정책을 장기적으로 고민하고 있다. 다만 이러한 정책이 통상 협상에서 걸림돌이 될 수 있다는 점에서 조심스럽다.

미국이 중국으로 밀반출될 위험이 있는 첨단 반도체 칩에 ‘위치추적 장치’를 심었다는 보도가 나왔다. 미 상무부와 연방수사국(FBI)까지 관여돼 있다는 주장도 나왔으나 이들 기관은 논평을 거부했다. 로이터통신은 13일(현지시간) 미국 정부가 수출 인공지능(AI) 칩이 중국으로 빼돌려질 것을 우려해 특정 화물에 위치추적 장치를 부착했다고 소식통의 발언을 인용해 보도했다. 미 당국은 이 장치를 이용해 수출 통제를 위반해 이익을 얻는 인물이나 기업에 대한 사례를 수집할 수 있다고 로이터는 전했다. AI 칩 공급망을 장악하고 있는 미국은 2022년부터 국가 안보 위협을 이유로 중국에 수출하는 첨단 반도체의 성능 등을 통제했다. 이들 추적 장치는 보통 배송되는 서버 포장 내부 또는 서버 자체에 부착돼 있었던 것으로 알려졌다. AI 서버 공급망에 관여하는 관계자 5명도 델과 슈퍼마이크로 등이 제조한 서버 화물에 추적 장치가 설치된 사실을 인지하고 있었다고 로이터는 설명했다. 해당 서버에는 엔비디아와 AMD가 제조한 칩이 탑재돼 있었다. 다만 AI 칩 재판매상들이 이미 추적 장치의 존재를 인지하고, 화물을 중국 등으로 옮겨 싣는 과정에서 장치를 제거한 경우도 있었다. 한 관계자는 재판매상들이 델과 슈퍼마이크로 서버에서 추적 장치를 제거하는 사진과 영상을 본 적이 있다고 밝혔다. 일부 대형 추적 장치의 크기는 스마트폰과 비슷한 수준이었다. 소식통들은 추적 장치 설치에 주로 미 상무부 산업안보국(BIS)이 관여하고 있으며, 국토안보부 소속인 국토안보수사국(HSI)과 법무부 산하 FBI도 참여한다고 밝혔다. HSI와 FBI는 이에 대해 논평을 거부했고 상무부도 논평 요청에 답하지 않았다. 중국 외교부는 이 사안에 대해 알지 못한다고 답했다. 엔비디아는 “우리 제품에는 비밀 추적 장치를 설치하지 않는다”고 주장혔다. 앞서 지난달 도널드 트럼프 행정부는 해외로 수출되는 AI 칩에 위치 추적 기능을 적용할 것을 제안했다. 최근 중국은 엔비디아의 AI 칩 H20에서 자료를 비밀리에 빼돌릴 수 있는 ‘백도어’ 등 보안 문제가 발견됐다며 압박했으나 엔비디아는 이를 강력 부인했다.

미국 빅테크 기업 구글이 요구하는 ‘고정밀 한국 지도 반출’이 다시 유보됐다. 이달 말로 예정된 한미 정상회담 이후에 결론이 날 전망이다. 국토교통부 국토지리정보원은 8일 열린 ‘측량성과 국외 반출 협의체’ 회의에서 구글이 신청한 고정밀 국가 기본도에 대한 국외 반출 결정을 유보하기로 결정했다. 앞서 지난 5월 14일 회의에서 국가 안보와 국내 산업 여파에 대한 추가 논의가 필요하다는 이유로 처리 기한을 60일 연장했었는데, 다시 60일을 더 연장한 것이다. 협의체는 국가 안보에 영향을 미치는 지도 정보 해외 반출 여부를 심의·결정하는 주체로, 국토부를 비롯해 국방부, 외교부, 통일부, 과학기술정보통신부, 행정안전부, 산업통상자원부, 국가정보원이 참여한다. 국토부는 결정 기한을 추가로 연장한 배경에 대해 “구글의 요청에 따른 것”이라면서 “구글이 고정밀 지도 국외 반출에 따른 안보 우려를 해소할 수 있는 방안을 검토하기 위해 기한 연장을 원했다”고 설명했다. 한편에서는 지도 반출 문제가 이달 말 한미 정상회담에서 논의될 수 있는 만큼 정부가 미리 결론을 내리는 것이 부담돼 유보 결정을 내린 것이란 시각도 있다. 현재 정부가 지도 반출을 조건으로 구글 측에 요구하는 건 3가지다. ▲보안 시설 블러(blur·가림)·위장·저해상도 처리 ▲좌표 삭제 ▲서버 국내 설치 등이다. 구글은 “한국 정부의 보안 우려를 해소하고자 위성 사진에서 중요 보안 시설을 가림 처리하겠다”고 밝혔다. 하지만 “보안시설 노출 시 즉각 시정 조치를 할 수 있도록 한국에 서버를 설치하라”는 요구에는 입장을 밝히지 않고 있다. 구글이 국내에 서버를 설치하면 정부의 관리 감독을 받아야 하고 세 부담이 생긴다. 앞서 구글은 2011년과 2016년에도 지도 반출을 요청해 왔다. 하지만 정부는 군사기지 등 보안시설 정보가 담긴 지도 데이터를 해외 서버에 두면 정보 유출 우려가 있다는 이유로 허용하지 않았다.

경기 포천시는 자율주행 및 모빌리티 보안기술 전문기업 새솔테크㈜와 ‘미래 전장 보안통신 기술 개발 및 유무인이동체 산업 기반 조성’을 위한 업무협약(MOU)을 체결했다고 8일 밝혔다. 이번 협약은 포천시가 추진 중인 유무인복합체계 기반 구축 사업에 보안 기술을 접목해, 국방과 민간 분야를 아우르는 유무인이동체 산업의 경쟁력을 높이기 위한 취지로 마련됐다. 새솔테크㈜는 차량·사물 간 통신(V2X) 보안을 위한 플랫폼과 보안 인증 서버, 시험·인증 장비 등으로 구성된 통합 솔루션 ‘S2X™’를 보유한 기업이다. 자사 암호화 모듈 ‘SSCrypto v1.0’은 국내 암호모듈검증제도(KCMVP) 인증을 획득했으며, 보안성과 속도 면에서 국방·공공 분야에 적용할 수 있는 기술력을 인정받고 있다. 협약식에는 백영현 포천시장과 한준혁 새솔테크 대표가 참석해 ▲민군 유무인이동체 보안통신 기술 고도화 ▲실증 및 시험평가를 통한 상용화와 군 전력화 협력 ▲지역 전략산업과 연계한 기술개발 등을 주요 내용으로 협약서에 서명했다. 한준혁 대표는 “포천시의 기반시설을 전략적으로 활용해 K-방산을 선도하는 기업으로 도약하겠다”고 포부를 밝혔다. 백영현 시장은 “이번 협약은 시가 추진하는 AI 기반 첨단 산업지구 조성과도 맞닿아 있다”며 “시의 인프라와 기업의 기술력이 시너지를 내 미래 모빌리티 산업의 중심지로 성장할 수 있도록 적극 지원하겠다”고 말했다.

구글이 정밀 지도 반출에 대한 정부 협의체 결정을 앞두고 ‘가림’ 처리된 국내 위성 사진을 구매하겠다는 의사를 밝혔다. 그동안 우리 정부의 가림 처리 요구에도 명확한 답을 내놓지 않던 구글의 입장이 전향적으로 바뀐 것이다. 그러나 정부는 그 정도로는 보안 문제를 해소하기 어렵다고 봤다. 구글은 5일 블로그를 통해 “한국 정부와 논의하면서 구글 지도의 위성 사진 이미지에서 한국 내 민감 시설에 대해 가림 처리하는 방안을 모색하고 있다”고 밝혔다. 구글은 한국에서 정확한 길 찾기 서비스를 제공하려면 1대 5000 축적 수준의 정밀 지도 데이터가 필요하다며 반출을 요구하고 있다. 1대 2만 5000 축적 지도는 인구 밀집 지역이나 좁은 골목에서 정밀한 안내를 제공하기에 적합하지 않다는 것이다. 또 구글이 요구하는 지도 데이터는 ‘고정밀 지도’가 아니라 ‘국가 기본도’라고 반박했다. 하지만 정부는 구글이 가림 처리된 위성 사진을 구매하겠다고 밝힌 것과 관련해 구글이 제안한 방식으로는 안보 리스크를 해소할 수 없다고 반박했다. 앞서 정부가 구글 측에 제시한 ▲지도상 보안 시설 가림·위장·저해상도 처리 ▲좌표 삭제 ▲보안 시설 노출 시 즉각 시정을 위한 구글의 국내 서버 확보 등 3가지 요구를 모두 수용해야 한다는 것이다. 정부 관계자는 “(구글의 설명과 달리) 1대 5000 축적은 고정밀 지도가 맞다”며 “구글이 협조하겠다고 한 것은 가장 미미한 부분으로 안보 리스크 해결을 위해선 정부가 제시한 모든 요청을 받아들여야 한다”고 말했다.

구글 “1:5000 축적 지도, 고정밀 아냐”정부 “고정밀 맞다”…8일 협의체 유보 가능성 정밀 지도 반출에 대한 정부 협의체 결정을 앞두고 ‘가림’ 처리된 국내 위성 사진을 구매하겠다는 의사를 밝혔다. 그동안 우리 정부의 가림 처리 요구에도 명확한 답을 내놓지 않던 구글의 입장이 전향적으로 바뀐 것이다. 그러나 정부는 그 정도로는 보안 문제를 해소하기 어렵다고 봤다. 구글은 5일 블로그를 통해 “한국 정부와 논의하면서 구글 지도의 위성 사진 이미지에서 한국 내 민감 시설에 대해 가림 처리하는 방안을 모색하고 있다”고 밝혔다. 구글은 한국에서 정확한 길 찾기 서비스를 제공하려면 1대 5000 축적 수준의 정밀 지도 데이터가 필요하다며 반출을 요구하고 있다. 1대 2만 5000 축적 지도는 인구 밀집 지역이나 좁은 골목에서 정밀한 안내를 제공하기에 적합하지 않다는 것이다. 또 구글이 요구하는 지도 데이터는 ‘고정밀 지도’가 아니라 ‘국가 기본도’라고 반박했다. 국토정보지리원은 1대 5000 축적 지도를 국가기본도로, 1대 1000 축적 지도를 고정밀 전자 지도로 분류하고 있다는 설명이다. 하지만 정부는 구글이 가림 처리된 위성 사진을 구매하겠다고 밝힌 것과 관련해 구글이 제안한 방식으로는 안보 리스크를 해소할 수 없다고 반박했다. 앞서 정부가 구글 측에 제시한 ▲지도상 보안 시설 가림·위장·저해상도 처리 ▲좌표 삭제 ▲보안 시설 노출 시 즉각 시정을 위한 구글의 국내 서버 확보 등 3가지 요구를 모두 수용해야 한다는 것이다. 또 구글이 반출을 신청한 1대 5000 축적 지도 역시 고정밀 지도가 맞다고 봤다. 1대 5000 축적 지도 데이터를 보유한 나라는 전 세계를 통틀어 10개국이 안 되는 것으로 알려졌다. 때문에 구글 역시 대부분의 국가에서는 이보다 낮은 축적의 지도를 쓰고 있다. 정부 관계자는 “(구글의 설명과 달리)1대 5000 축적은 고정밀 지도가 맞다”며 “구글이 협조하겠다고 한 것은 가장 미미한 부분으로 안보 리스크 해결을 위해선 정부가 제시한 모든 요청을 받아들여야 한다”고 말했다. 정부는 오는 8일 관계 협의체 회의를 열어 구글의 국가기본도 국외 반출 요청 건을 논의할 예정이다. 다만 한미 정상회담을 앞둔 상황에서 결정을 유보할 가능성이 높아 보인다.