[일요시사 취재1팀] 김성민 기자 = 최근 KT와 롯데카드사에서 대규모 해킹 및 개인정보 유출 사건이 발생해 불안감을 증폭시키고 있다. 반면, 이를 감독해야 할 한국인터넷진흥원 직원들이 법인 카드로 유흥업소 접대 비용을 지출하고, 음주 운전 징계 등 일탈 행위를 보이면서 보안 사고 대응 미비뿐 아니라 신뢰성에 대한 우려까지 감수하게 됐다.
KT는 최근 자사 통신망을 통해 발생한 소액결제 해킹 사고와 서버 침해 정황을 확인했다고 밝혔다. 외부 보안 기업과 함께 4개월간 전수조사 끝에 침해 흔적 4건, 의심 정황 2건을 발견했으며, 이를 지난 18일 오후 11시57분경 한국인터넷진흥원(이하, KISA)에 신고한 것으로 전해진다.
대규모 사고
KT는 해킹 사실을 인지한 지 약 3일 만에 KISA에 신고하면서 법정 신고 의무(24시간 이내)를 위반했다는 비판을 받았다. 초기 발표에서 “개인정보 유출은 없다”고 했으나, 조사 결과 국제이동가입자식별정보(IMSI) 등 민감한 정보가 유출된 사실이 확인되며 파장이 커졌다.
이번 해킹 사고는 처음이 아니다. KT 서버에는 2018년부터 올해까지 거의 매년 침해 흔적이 발견된 것으로 확인됐다. KT는 어떤 서버가 침해됐는지 외부 보안업체의 전수조사를 통해 파악했지만 자세한 내용은 공개할 수 없다는 입장이다.
연이은 피해 규모 번복과 은폐 의혹으로 비판 받는 KT가 보안과 관련된 정보를 투명하게 공개하지 않고 있다는 지적이 나온다.
지난 23일 국회 과학기술정보방송통신위원회 소속 더불어민주당 이정헌 의원이 KISA로부터 보고받은 내용에 따르면 KT 서버는 2018년부터 올해까지 침해 흔적이나 의심 정황이 6건 있었다. KT가 SK텔레콤 해킹 사태 이후 외부 보안업체에 서버 전수조사를 맡긴 결과다.
해당 업체는 2018년과 2020년 운영 중이던 서버 2대에서 침해 의심 정황을 발견했고 2019년과 2021~2022년, 2024~2025년 서버 4대에서 침해 흔적을 포착했다. 2023년을 제외하고는 매년 서버 침해 시도가 있었고, 실제 침해 흔적까지 나온 것이다.
KISA는 침해 가능성이 있는 서버가 중복되는지 여부는 확인이 필요하다면서도 침해 방법은 SK텔레콤 해킹 당시 발견된 악성코드 ‘BPF 도어’ 방식은 아니라고 설명했다. SK텔레콤 해킹 이후 KT와 LG유플러스를 대상으로도 악성코드 여부를 조사했는데, 당시 발견되지 않았기 때문에 다른 종류의 침해로 분석하고 있는 것으로 풀이된다.
다만 KISA는 구체적으로 어떤 서버가 침해됐는지 등 조사 내용은 KT 측의 동의 없이 공개할 수 없다는 입장이다.
KT는 외부 조사 결과에 대해 알지 못한다고 의원실에 답했다. 지난 19일 KISA에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다고 밝히고도 그 내용을 알지 못한다는 입장을 낸 것은 앞뒤가 맞지 않는다는 비판이 나온다.
경찰청 국가수사본부 사이버테러수사대는 KT 서버 침해 정황에 대한 내사(입건 전 조사)에 착수했다. 경찰은 KT가 KISA에 신고한 서버 침해 정황을 들여다보고 있다.
KISA 직원 33명 비위 징계 결정
내부 기강 해이···파면·정직 속출
이정헌 의원은 “KT가 외부에 맡겨 부랴부랴 전수조사한 결과 이미 2018년부터 거의 매년 서버가 해킹당했다는 정황이 포착됐다”며 “KT는 관련 자료를 투명하게 공개하고 당국은 신속 정확한 조사로 진상을 밝혀야 한다”고 강조했다.
당국이 이미 13년 전 펨토셀의 보안 취약성에 대해 연구를 진행하고도 대응 및 제도화에 소홀했다는 지적도 나왔다.
국민의힘 이상휘 의원에 따르면 KISA는 2012년 수행한 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에서 펨토셀이 가질 수 있는 보안 위협 29가지를 제시했다. 연구 보고서가 지목한 펨토셀 보안 위협 중에는 KT 소액결제 피해의 원인으로 지목되는 사례도 있었다.
사용자 인증 토큰 복제나 통신을 주고받는 두 주체 사이 공격자가 몰래 개입해 정보를 가로채거나 조작하는 중간자(MITM) 공격이다.
최근 롯데카드사 역시 온라인 결제 서버(WAS)를 해킹당해 200GB 규모의 고객 데이터가 탈취됐다. 피해자는 약 297만명, 이는 전체 회원의 약 30%에 달한다. 문제는 초동 대응 과정이다. 롯데카드는 초기 발표에서 유출 규모를 1.7GB라고 밝혔으나, 이후 실제 유출량이 수백GB에 달하는 것으로 확인되며 축소·은폐 의혹이 제기됐다.
유출 정보에는 카드 번호, 유효기간, 주민등록번호 등 금융 사기에 악용될 수 있는 핵심 데이터가 포함된 것으로 알려졌다.
이처럼 보안 사고가 연이어 발생하는 가운데, 감독기관인 KISA 내부에서도 심각한 기강해이가 드러났다. 최근 잇따르고 있는 통신사, 카드사 등에 대한 해킹으로 국민 불안이 증폭되고 있는 가운데 사이버 침해사고 대응을 총괄하는 KISA 직원들의 기강 해이는 심각한 수준이었다.
지난 22일 국회 과학기술정보방송통신위원회 간사인 더불어민주당 김현 의원이 KISA에서 받은 국정감사 자료에 따르면, 지난 2022년 6월부터 지난달까지 3년여간 직장 이탈, 음주 운전, 겸업 등 각종 비위로 징계를 받은 직원이 33명에 달하는 것으로 나타났다.
연도별로는 ▲2022년 2명 ▲2023년 25명 ▲2024년 3명 ▲2025년 지난달까지 3명 등이다. 징계 수위별로는 파면 2명, 정직 5명, 감봉 8명, 견책 18명 등이었다.
보안 컨트롤타워
신뢰성 붕괴 위기
한 KISA 2급 직원은 유흥업소와 숙박업소에서 법인카드를 수천만원대 결제에 사용해 2023년 7월 파면됐다. 3급 한 직원은 보건휴가를 내고 해외여행을 다녀왔다가 지난 2월 감봉 처분을 받았고, 4급 한 직원은 몰래 겸업해 온 사실이 드러나 지난달 견책 처분됐다.
2023년 11월에는 3급 3명, 4명 1명 등 4명이 음주 운전으로 적발돼 줄줄이 정직, 견책 등의 징계를 받았다.
최근 SK텔레콤과 KT 등 통신사, SGI서울보증, 롯데카드까지 해킹에 줄줄이 노출돼 사이버 침해 대응체계에 대한 국민 불안감이 높은 상황이다.
KISA에 접수된 해킹·바이러스 상담 건수도 ▲2022년 6만2471건 ▲2023년 4만8631건 ▲2024년 3만4149건 ▲2025년 지난 월까지 2만5967건에 달하는 등 사이버 침해에 대한 국민들의 우려와 걱정은 매년 수만건에 이른다. KISA가 해킹이나 바이러스 대응, 개인정보 보호 등을 위한 공공기관인 만큼 업무 행태를 개선해야 한다는 지적이 나온다.
김현 의원은 “개인정보 유출 등에 대한 국민적 우려가 크지만, 이에 적극 대응해야 할 KISA는 기강해이와 소극적 업무 행태 등을 개선하려는 노력을 보이지 않고 있다”며 “보안 기술자들이 해킹 기술을 쫓아가기도 벅찬 상황에서 KISA의 역할이 어느 때보다 중요한 만큼 감독기관인 과학기술정보통신부가 특단의 대책을 마련해야 할 것”이라고 말했다.
KT·롯데카드 해킹 사건과 KISA 내부 비위 사태는 외부 사고와 내부 관리 실패가 동시에 드러난 이중 위기다. 기업의 보안 강화와 함께 감독기관의 내부 윤리 혁신, 구조 개편이 반드시 병행되어야 한다는 지적이 잇따르고 있다.
한 보안 전문가는 “외부 감독 이전에 내부부터 혁신해야한다”고 지적했다. 이번 사태가 KISA의 구조적 문제를 여실히 드러낸다고 지적한다. 피해 기업이 해킹 사실을 신고해야만 KISA가 대응할 수 있는 구조인데, 신고 지연·은폐 시 초동 대응 지연도 불가피하다.
제재 실효성도 부족하다. 정보통신망법 위반 시 과태료는 최대 3000만원 수준이 고작이다. 보안 투자보다 벌금 부담이 적어 예방할 의지가 약해질 수밖에 없다. 또 관할 소속도 민간 피해는 KISA, 금융기관의 해킹 피해는 금융보안원, 공공기관의 해킹 피해는 국가정보원 등으로 분리되는데, 중앙 컨트롤타워 부재로 신속 대응이 어려운 점도 있다.
법제 개편과 제도 개선 방향도 논의되고 있다. 국회와 정부 모두 대응책을 서두르고 있다. 이번 사태는 기업이 침해 사실을 숨기거나 신고를 미루면 정부가 신속히 대응할 수 없다는 점을 여실히 보여줬다.
대응의 한계
국회는 이미 제도 개선에 시동을 걸었다. 최민희 국회 과학기술정보방송통신위원장은 기업 신고 여부와 무관하게 정부가 침해 사고 조사를 개시할 수 있도록 하는 ‘정보통신망법’ 개정안을 발의했다. 개정안은 ‘침해 사고 조사심의위원회’를 신설해 해킹 정황이 발견되거나 중대한 사고가 발생했을 때 위원회 판단에 따라 정부가 즉시 조사할 수 있도록 하는 내용을 담고 있다. 기업의 은폐와 지연을 원천 차단하겠다는 취지다.
<smk1@ilyosisa.co.kr>
