KT 해킹 사고는 지난 8월 26일 경기 광명시와 서울 금천구 등에서 대규모로 발생했다. 해킹을 통해 본인 동의 없이 휴대폰 소액결제가 이뤄지면서 피해자들이 금전적 손실까지 입은 것으로 드러났다. KT의 자체 조사 결과, 불법 초소형 기지국(펨토셀)을 통해 단말기 신호를 가로채, 국제이동가입자식별정보(IMSI)를 확보한 뒤 이를 활용한 무단 결제가 발생했을 가능성이 높은 것으로 나타났다. 잠정 피해 고객은 총 5561명으로 집계됐다.
과학기술정보통신부와 한국인터넷진흥원(KISA)의 합동 조사 결과, 지난 9월 10일까지 KT 소액결제 피해는 278건, 총액 약 1억 7000만 원으로 집계됐다. 김영섭 KT CEO는 9월 11일 기자회견을 열고 “KT를 아껴주시는 국민과 고객, 유관 기관 여러분께 심려를 끼쳐 정말 죄송하다”며 “피해자들에게 100% 보상책을 마련하겠다”며 고개를 숙였다.
이번 사고와 연관된 것으로 추정되는 ‘펨토셀’은 통신사가 기지국 인근에 설치해 음영지역(통신이 잘 닿지 않는 지역)을 보완하는 초소형 기지국 장비다. 신영웅 우송대 IT보안학과 교수는 “코어 기지국과 단말기 사이 신호를 중간에서 가로채 이용자를 사칭하는 중간자(MIM·Man in the Middle) 공격”이라며 “통상 스미싱으로 악성코드를 유도하는 방식과 달리, 신호가 약한 지점을 파고들어 오가는 데이터를 직접 가로챈 것으로 보인다. 해외에서는 펨토셀을 도청 용도로 악용한 사례가 있었지만, 이번처럼 소액결제 피해로 이어진 것은 처음”이라고 설명했다.
불법 펨토셀의 출처는 아직까지 확인되지 않았다. KT는 해당 펨토셀의 아이디가 자사 양식을 따르고 있으나 관리시스템에는 등록되지 않은 기기라고 설명했다. 하지만 KT 망과 연동됐던 흔적이 포착되면서 논란이 커지고 있다. 염흥열 순천향대 정보보호학과 교수는 “통상 본인인증·인증키를 거쳐야만 코어망 접속이 허용되기 때문에 KT가 관리하지 않는 펨토셀이 코어망에 접속한 것은 매우 심각한 상황이다. 펨토셀과 코어망 간의 인증·암호화 체계 자체가 잘 작동하고 있는지 확인할 필요성이 있다”며 “자칫하다간 해커가 동일한 인증 정보를 써서 다른 펨토셀을 코어망에 다시 연결할 수 있다”고 경고했다.
과거 KT가 관리했던 기기일 수 있다는 의혹이 제기되면서 펨토셀 관리 부실 문제가 도마 위에 올랐다. 9월 15일 최수진 국민의힘 의원에 따르면 이동통신 3사가 운용 중인 전체 펨토셀 19만 5000대 가운데 6만 4000대(33%)가 미작동 상태였고, 이 중 89%가 KT 몫이었다. KT는 총 15만 7000여 대 중 5만 7000대가 작동하지 않았으며, LG유플러스는 2만 8000대 중 4000대, SK텔레콤은 1만 대 중 3000대가 신호를 내지 못한 것으로 집계됐다.
KT 내부사정을 잘 아는 한 관계자는 “KT가 LTE 주파수 대역이 높아서 유독 음영지역이 많고 촘촘하게 망을 깔아야 하는 문제가 있었던 것으로 안다. 이 과정에서 KT가 이노와이어리스와 손잡고 펨토셀을 도입하면서 비용 문제를 해결했다”며 “비용 아끼려다가 보안에서 실수했을 가능성이 높다. 15만 대나 뿌려놓고 제대로 관리하지 않고 있으니 악용될 소지를 남긴 셈”이라고 지적했다.
김명주 서울여대 정보보호학과 교수는 “개인정보 유출은 현재로서는 KT 서버 직접 침해라기보다 펨토셀을 통해 휴대폰에서 빠져나간 여러 정보를 해커가 조합해 유출·악용했을 가능성이 있다”며 “현 시점에선 주어진 정보가 부족해 확답은 어렵다”고 말했다.
#부인만 하다 사태 키워…김영섭 대표 책임론 확산
KT의 미온적인 대응이 불신을 키웠다는 지적이 나온다. 경찰이 8월 26일 접수된 신고를 토대로 지난 9월 1일 KT에 사고 사실을 알렸으나, KT는 이를 부인했다. 이후 피해 건수가 급증하면서 신고가 이어지자 5일에서야 비정상적인 소액 결제 시도를 차단했고, 6일 이용자들에게 무단 결제 사실을 알렸다. 당시에도 KT는 해킹 가능성은 부인했다. 8일 과학기술정보통신부에 사이버 침해 사고를 신고할 때도 같은 태도를 보였다. 결국 사건 발생 16일 만인 11일 기자회견을 열고서야 해킹 사실을 인정했다.
지난 9월 17일 국회 과학기술정보방송통신위원회 소속 더불어민주당 황정아 의원실이 KT로부터 제출받은 자료에 따르면, 해킹은 지난 8월 5일부터 시작됐다. 그러나 KT가 초기에 제대로 대응하지 못하면서 피해 규모가 확산된 것으로 드러났다. 적어도 최초 인지 시점부터 결제 차단과 피해 공지를 신속히 했더라면 피해가 지금처럼 커지지 않았을 것이라는 지적이 나온다.
김영섭 KT 대표를 둘러싼 책임론이 확산하고 있다. 비통신 출신 ‘재무통’으로 취임 이후 AI 투자와 재무적인 숫자 관리에만 집중하며 통신 본업을 소홀히 했다는 비판이 나온다. 앞서의 KT 관계자는 “통신 관계자들은 듣자마자 ‘이거 커질 것 같다’는 감이 온다. 현장에서 잘못 판단했더라도 CEO가 보고를 받은 순간부터 통신에 대한 이해가 있었다면 리스크 대응에 나섰을 것”이라고 말했다.
이어 “김영섭 대표는 평소에도 통신은 직원들에게 맡기고 본인은 AI에만 신경쓴다는 지적이 많았다. 임원 인사 역시 AI 출신 위주로 채워졌고, 구재형 네트워크기술본부장도 네트워크 부문장(부사장급) 바로 아래 직급임에도 상무에 불과하다. 과거 KT의 핵심 조직이었던 네트워크 부문의 위상이 크게 낮아졌고, 이를 가속화한 것이 김영섭 체제”라고 말했다.
KT는 지난해 이동통신 3사 중 최대 규모인 1250억 원을 정보보호에 집행했다고 밝혔다. 향후 5년간 1조 원 이상을 투입하겠다는 계획도 발표했다. 하지만 대형 침해사고 대응과 네트워크·클라우드 보안, 피싱 차단 등에 치중하면서 결제 본인 인증이나 실시간 승인 절차 같은 소액결제(DCB) 보안 영역 투자는 상대적으로 소홀했다는 평가가 나온다.
해킹 사고 의혹과 관련해서는 국회에서 청문회가 열릴 예정이다. 국회 과학기술정보방송통신위원회(과방위)는 오는 9월 24일 청문회를 열고 김영섭 KT CEO의 증인 출석을 요구했다. 이번 청문회에서는 KT의 해킹 사고 의혹과 대응 과정, 책임 소재를 두고 집중 질의가 진행될 것으로 보인다.
한편 KT는 정권이 바뀔 때마다 대표 교체와 내홍을 반복해 왔다. 이석채 전 회장은 정치자금 수사 끝에 자리에서 물러났고, 황창규 전 회장은 미르·K스포츠재단 출연금 논란에 연루되며 검찰 수사를 받았다. 구현모 전 대표 역시 윤석열 정부 출범 이후 대통령실과 국민연금의 압박 속에 자리에서 물러났다. 이후 정관에서 ‘통신전문가’ 요건을 삭제하고 ‘ICT 전문가’로 범위를 넓히면서 LG CNS 출신 김영섭 대표가 선임됐는데, 낙하산 논란과 경영 실패 이력 등이 도마에 오르며 인선 과정 자체가 뒷말을 낳았다. 일각에서는 과방위 청문회 출석 이후 여론이 더 악화할 경우 김영섭 CEO의 거취 논란 역시 본격화될 수 있다는 관측이 나온다.
이와 관련, KT는 9월 11일 발표한 ‘소액결제 피해 관련 대고객 사과 및 고객 보호 조치 발표’에서 “이번 사건을 고객 신뢰와 직결된 중대 사안으로 인식하고 책임을 통감하며, 재발 방지를 위해 최선을 다할 방침이다. 또 고객 피해에 대한 신속한 지원과 정부 및 기관과의 긴밀한 협력, 조사 결과에 따른 합당한 보상 절차 및 제도 개선책 마련에 총력을 기울일 계획이다”라고 밝혔다.
김정민 기자 hurrymin@ilyo.co.kr
