더트래커 = 김상년 기자
18일 롯데카드의 예상외 대규모 정보유출 피해에 이어 KT 무단 소액결제 사태도 서버 침해 사실까지 드러나면서 사태의 심각성과 파장이 한층 커지고 있다.
KT는 19일 합동 브리핑 직전 자사 서버에서 해킹 침해 흔적 4건과 의심 정황 2건을 확인해 전날 자정께 한국인터넷진흥원에 신고했다고 발표했다.
KT는 “지난 4월 SK텔레콤 해킹 사고 발생 이후 정확한 실태 점검을 위해 외부 보안 전문 기업에 의뢰해 전사 서버를 대상으로 약 4개월에 걸쳐 조사를 진행했다”며 “그 결과 보고서를 통해 침해 정황을 확인했다”고 설명했다
하지만 “어떤 정보가 유출됐는지는 (현재로선) 정확히 알 수 없다”면서 “향후 정부 조사에 적극 협조해 조속한 시일 내에 침해 서버를 확정하고, 구체적 침해 내용과 원인이 규명될 수 있도록 최선을 다하겠다”고만 밝혔다.
KT는 조사 범위와 방식을 넓히다보니 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판도 제기된다.
구재형 KT 네트워크기술본부장은 "소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 CISO 쪽에서 별도로 진행해 상호 연결성이 없었다"며 사내 소통 부족 때문에 벌어진 일이라고 설명했다.
피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7천만원에서 2억4천만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다.
구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 "그렇다"면서도 서버에서 유출된 정보에 대해선 "어젯밤 신고해서 합동조사단 결과가 나와봐야 알 수 있다"고 설명했다.
과기정통부는 이날 국가안보실을 중심으로 관계부처와 협력해 해킹 피해 최소화에 나서겠다고 노력하겠다고 밝혔다.
현행 보안 체계를 원점 재검토해 근본 대책을 마련하고, 기업이 침해 사실을 고의로 늦게 신고하거나 미신고할 경우 과태료 처분을 강화하겠다는 방침이다.
또 정부가 해킹 정황을 확보하면 기업 신고 여부와 관계없이 조사에 착수할 수 있도록 제도를 손질하고, 기업의 보안 투자 확대를 유도할 방안도 마련하겠다고도 했다.
금융위는 롯데카드 사태를 계기로 금융회사 전산시스템과 정보보호 체계를 긴급 점검하고, 금융감독원·금융보안원을 통해 지도·감독을 강화하겠다고 밝혔다. 재발 방지를 위해 징벌적 과징금 도입, 최고정보보호책임자(CISO) 권한 강화, 소비자 대상 공시 확대 등 제도 개선도 추진한다는 계획이다.
양 기관은 또 기업 내 CISO 권한과 예산 통제권을 강화해야 한다는 점을 공통적으로 강조했다. 기업이 보안 분야에 예산 투자를 늘려야한다는 데에도 목소리를 같이 했다.