[디지털데일리 강소현 김보민 오병훈 기자] 국내 대규모 정보 유출 사고가 잇따르고 있는 가운데, 중심에 있는 KT와 롯데카드 대표가 청문회에서 출석해 각 사태에 대한 해명과 향후 조치 방안을 밝혔다. 롯데카드 조좌진 대표는 자신의 직을 걸고 재발 방지책을 마련하겠다는 입장이다. KT는 사퇴를 촉구하는 의원들 질타에 “사안 해결에 먼저 집중하겠다”며 신중을 기하는 모습이다.

24일 국회 과학기술정보방송통신위원회(이하 과방위)는 오전 10시 전체회의실에서 ‘대규모 해킹 및 소비자 피해’ 청문회를 개최했다. 이날 청문회에는 김영섭 KT 대표를 비롯해 조좌진 롯데카드 대표가 출석해 과방위 소속 의원들의 질문에 답했다.

청문회 시작부터 KT에 대한 집중 포화가 이어졌다. KT는 사태 발발 전과 후 관련 대응 조치가 미흡했다며, 이에 대한 책임을 지는 차원에서 김 대표 사퇴를 촉구하는 의원들도 다수 있었다. 롯데카드에 대해서도 정보보안 시스템 상 문제와 대응조치 미흡을 두고 질타가 이어졌다.

◆‘프랙 매거진’ 의혹제기 이후 서버 폐기…은폐 정황 집중 질의

가장 중심이 된 화두는 KT의 은폐 정황에 대한 질문이었다. KT는 이번 무단소액결제 사태 발발 전 프랙 매거진에 의해 서버 침해 가능성이 제기 된 바 있다. 그럼에도 관련 서버를 폐기하는 등 행보로 은폐 의혹이 지속되고 있다.

프랙 매거진은 화이트해커 등 전문가들이 운영 중인 해외 보안 매체로, 지난 7월 한국 정부부처 시스템을 포함해 KT와 LG유플러스 등 국내 기업에 대한 해킹 정황이 담긴 보고서를 발간한 바 있다. 해커의 개인 PC에 국내 기업과 정부 시스템의 인증서 파일 등이 발견됐다는 것이다.

정부에서는 이를 확인하고 당시 KT 등에 이 사실을 전하고 침해사고 신고를 권고한 바 있다. 하지만, KT는 자체 조사 이후 ‘이상 없다’는 답변을 전한 뒤 8월1일 해당 서버를 파기했다. 이 같은 행보는 이후 무단소액결제 사태가 확산되면서 사태 은폐 및 축소 의혹으로 이어진 상황이다.

이날 청문회에 정부 관계자로 출석한 류제명 과학기술정보통신부 2차관은 “(조사단에서) 확인한 사실은 지난 7월19일 프랙 보고서에 의한 해킹 정황을 확인 후 19일 날 사업자들한테 통보할 때 해당 서버(프랙매거진에 의해 파악된 해킹 정황이 포함된) 서버 한대가 8월1일 날 폐기된 서버와 연관이 있다”며 “소액결제사건과 프랙매거진에 의해 밝혀진 해킹 정황과 상호 연관성과 관계에 대해서는 조사가 필요한 부분”이라고 말했다.

KT는 이후 파기된 서버 로그가 폐기 업체에 남아 있다는 것을 확인하고 이를 자료로 제출한 상황이다. 해킹 정황이 보고된 상황 속에서도 기존 폐기 계획을 강행한 것을 두고 KT 내부 의사결정구조에 대해서도 문제가 제기됐다.

서버 폐기 결정권자가 누구냐는 이주희 의원(더불어민주당) 질문에 김영섭 KT 대표는 “확인한 결과, 서버 폐기는 규모나 내용에 따라 다르지만 팀장 수준에서 결정하고 폐기를 결정한다”고 답했다.

◆인프라 관리부실…사퇴 촉구에는 “사태 해결 먼저” 신중론

인프라 관리 부실도 도마에 올랐다. ‘초소형기지국(Femtocell, 펨토셀)에 대한 관리 부실이 이번 사고를 초래한 원인이 맞냐’는 질문에 이상휘 의원(국민의힘) 질의에 김 대표는 “관리가 부실했다”며 인정하고 사과했다.

업계는 소액결제 범행에 펨토셀이 활용됐을 가능성이 높다고 봤다. 펨토셀은 실내 통신 품질을 높이기 위해 가정이나 사무실에 설치하는 소형 기지국 장비로, 관리가 허술한 펨토셀을 ‘가짜 기지국’(Fake Base Station)처럼 동작해 KT의 코어망에 붙었을 것이라는 분석이다.

이 의원은 이날 KT가 펨토셀을 부실하게 관리해온 부분을 지적했다. 다른 통신사와 달리 KT는 해당 장비에 대한 자동 차단 시스템을 갖추고 있지 않은 것으로 확인됐다고 밝혔다.

SK텔레콤과 LG유플러스는 펨토셀 미사용이 장기화하거나 일정 거리 이상을 이동하게 되는 경우 자동 탐지 뒤 해당 기기를 차단하고 일정 기간 후 장비 고윳값을 삭제하는 등 코어망에 붙지 못하도록 조치하고 있었다.

그는 펨토셀을 활용한 범죄 가능성이 이미 10여년전 예고됐던 부분도 언급했다. 이상휘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, KISA는 2012년 4000만원의 연구개발비를 투입해 ‘펨토셀 및 GRX 보안 취약점 연구’를 수행한 바 있다.

이 의원은 "(펨토셀의 취약성은) KISA 연구를 통해 13년 전 이미 경고됐다"라며 "이후 정부 차원에서 대응은 없었냐"고 물었고, 이에 대해 류제명 과기정통부 차관은 "다시 한번 확인해보겠다"라고 답했다.

이준석 의원(개혁신당)은 정부 차원 인프라 관리 제도 보완 필요성을 지적했다. 이준석 의원은 “초소형 기지국에 대한 물리적 접근이 가능하다는 것은 보안 결함이 여전히 남아 있는 것으로 보인다”며 “불법 초소형 기지국 설치 장소 등에 대한 제도적인 안전장치가 필요하다”고 짚었다.

은폐 의혹과 인프라 관리 부실 등 각종 문제 지적에 이어 김영섭 KT 대표 책임론 목소리도 커졌다. 다만, 김영섭 KT 대표는 이번 사태 책임을 안고 자리에서 물러나야 한다는 의원들 지적에 대해 “현재 목표는 사태 해결에 집중하려고 한다”며 즉답을 피했다.

◆ 롯데카드, "엄청난 실수" 인정...ISMS-P 뭇매에는 ‘멈칫’

롯데카드는 최근 해킹 공격으로 고객정보가 유출된 사태에 대해 사과했다. 조좌진 롯데카드 대표는 “고객 신용정보를 다루는 금융회사로서 고객정보가 유출됐다는 것 자체만으로 엄청난 실수”라며 “소비자 피해를 제로화하고 불편을 최소화하기 위해 최선을 다할 것”이라고 밝혔다.

고객 피해 최소화 방안에 대해서는 “현재 카드 재발급 신청이 100만건 정도 밀려있다”며 “하루 24시간 근무해 재발급할 수 있는 카드는 6만장이 최대”라고 설명했다. 이어 “이번 주 주말까지 (카드 재발급 등 대응을) 대부분 해소할 것으로 예상한다”고 답했다.

다만 ‘ISMS-P 인증’을 받았음에도 불구하고 보안 사고가 발생헀다는 지적에 대해서는 시스템상 문제였다는 점을 시사했을 분, 답변을 이어가지 못했다. 조 대표는 "광범위한 형태의 인증 범위를 가지고 있는 것은 사실이나, 실제 모든 (인증) 항목에 대한 점검을 실시하는 것은 아니다”라고 부연했다.

앞서 금융보안원 측이 “ISMS-P는 정보보호관리체계를 인증하는 제도로, 인증을 받았다고 해서 악성코드나 해킹에 완벽히 안심할 수 있다고 말하기 어렵다”며 “정보보호 관리체계 인증으로만 봐야 하고, 인증을 받은 기업도 언제든 해킹이 가능하다”고 설명한 것과 궤를 같이 하는 부분이다.

이날 조 대표는 별도 보안 시스템을 구축했으나, 사고를 피할 수 없었다는 해명도 내놓았다. 조 대표는 보안 시스템이 있느냐는 질문에 "그렇다, 탐지 시스템도 운영하고 있다"면서도 "(해커가) 탐지되지 않은 영역에 교묘하게 웹셸을 설치해 정보를 탈취한 것으로 이해하고 있다"고 말했다.

한편, 조 대표는 대대적인 인적 쇄신과 사후 조치에 집중하겠다는 입장이다. 특히, 본인의 사임까지 포함해 이번 사태에 대해 책임을 지고 자리에서 물러나겠다고 재차 강조한 모습이다. 앞서 조 대표는 지난18일 과방위 의원들의 현장 방문 당시 의원들에게 “대표인 본인을 포함해 대대적인 인적 쇄신을 연말까지 완료하겠다”고 말한 바 있다.

조 대표는 이날 청문회에서 이정헌 의원의 “지난 18일 사임을 포함한 인적쇄신은 여전히 고려 중이냐”는 질문에 “그렇다”고 답했다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -