국회 과방위, 24일 KT·롯데카드 해킹 사태 청문회
김 대표, 펨토셀 부실관리 인정···은폐 의혹은 부인
[시사저널e=김용수 기자] 여당인 더불어민주당이 김영섭 KT 대표에 대해 최근 무단 소액결제 사태에 대한 책임을 지고 사퇴해야 한다고 지적했다. 단순한 초소형 기지국(펨토셀) 관리 부실이 아니라 고의적 은폐라는 지적도 잇따랐다. 다만 김 대표는 펨토셀 관리 부실을 인정하면서도 “은폐가 아니라 처리해야 할 업무가 많아 시간이 걸렸다”고 반박했다. 또 여당의 잇따른 사퇴 요구에 대해선 “부적절하다”며 사태 해결에 최선을 다하겠단 입장을 밝혔다.
24일 국회 과학기술정보방송통신위원회(과방위)는 서울 영등포구 국회에서 대규모 해킹사고 관련 청문회를 진행했다. 이날 청문회엔 통신3사 대표 중 김 대표가 유일하게 증인으로 출석했다. 최근 무단 소액결제 사고가 발생한 탓이다.
앞서 KT는 소액결제 사태가 불거진 지난 4일부터 ‘개인정보 유출은 없다’고 했지만, 11일 기자회견에서 5561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다. 또 지난 18일에는 불법 기지국 신호를 수신한 2만명의 국제단말기식별번호(IMEI)와 휴대전화 번호가 유출된 정황을 추가로 발표했다. KT가 밝힌 무단 소액결제 피해자는 278명에서 362명으로, 피해 금액은 약 1억7000만원에서 약 2억4000만원으로 늘어나는 등 피해 규모도 확대되고 있다. 피해 지역도 서울 서남권에서 서울 서초구, 동작구, 경기 고양시 일산동구까지 확대됐다.
이날 김 대표는 펨토셀 관리 부실이 이번 사건을 초래했단 이상휘 국민의힘 의원 지적에 “관리가 부실했다는 점을 인정한다”며 “사고 이후에는 모든 펨토셀이 망에 접속하지 못하도록 차단조치했다”고 말했다.
이날 참고인으로 출석한 이종현 SK텔레콤 정보보호최고책임자(CISO) 부사장은 “SK텔레콤은 3개월간 사용되지 않은 펨토셀은 삭제를 통해서 망에 붙지 못하도록 처리를 하고 있다”며 사용되지 않는 펨토셀을 모니터링한 뒤, 접속이 없으면 망에서 완전히 삭제한다고 설명했다.
반면 김 대표는 “펨토셀의 유효 인증기간이 10년으로 설정돼 있다”고 말했다. KT는 20만개의 펨토셀을 보유했으며, 설치와 회수 관리 업무를 외주에 맡긴 것으로 나타났다.
김 대표는 “해킹 기술이 아주 고도화되는 데 반해 그에 따르는 망의 안정적 유지를 위한 투자는 기대에 못 미쳤다”며 부실관리를 인정했다.
KT에 대해선 피해 규모 축소·은폐 의혹도 제기됐다. 황정아 민주당 의원은 KT가 ARS 인증만을 기준으로 피해를 집계한다며 소극적 대응을 지적했다.
이에 김 대표는 “SMS 등 다른 인증 데이터를 포함한 전체 분석을 진행 중”이라며 확대 조사 방침을 밝혔다.
또 황 의원이 “비정상 패턴을 처음 발견한 게 지난 4일인데, 한국인터넷진흥원(KISA)에 '이상징후가 없다'고 허위신고를 한 것이다. 또 피해자들이 278명이라고 밝혔는데, 갑자기 362명으로 껑충 뛰었으며 피해 지역도 계속 늘어났다. 이래놓고 은폐가 아니냐”고 지적하자, 김 대표는 “그때까지는 개인정보 침해가 아니라 스미싱으로 파악하고 있었다”고 해명했다.
이날 여당 의원을 중심으로 김 대표에 대한 사퇴 촉구도 이어졌다.
노종면 민주당 의원은 “(해명 번복은) KT란 조직이 완전히 망가졌단 증거이다. 상층부에 무언가 문제가 생기면 숨기려고 하는 조직문화가 KT 전체를 매우 후진적이고 부조리한 기업으로 전락시킨 것”이라며 “KT 직원에게 창피한 줄 알아라. 거취에 대해 빨리 표명하는 것이 고객에 대한 도리”라고 지적했다.
이훈기 의원도 “김 대표가 김건희의 낙하산이란 얘기도 있다. 낙하산이라 그런 것 아니냐. 사퇴할 생각 없느냐”고 질타했다.
김 대표는 “낙하산 얘기를 들어보긴 했지만, 잘 모르고 관계없는 일이라 생각한다”며 사퇴 요구를 일축했다.
과학기술정보통신부(과기정통부)는 복제폰 생성 가능성 등 추가 보안 위협을 정밀 점검하고, 신고 지연이나 은폐 정황이 드러날 경우 경찰 수사 의뢰 등 강경 대응에 나설 계획이다.
류제명 과기정통부 제2차관은 “서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요시 경찰 수사 의뢰 등 강력히 조치하겠다”고 말했다.
한편 조좌진 롯데카드 대표는 이날 증인으로 출석해 “고객 신용정보를 다루는 금융회사로서 고객정보가 유출됐다는 것 자체만으로 엄청난 실수”라며 “소비자 피해를 제로화하고 불편을 최소화하기 위해 최선을 다할 것”이라고 밝혔다.
고객 피해 최소화 방안에 대해 조 대표는 “현재 카드 재발급 신청이 100만건 정도 밀려있다”며 “하루 24시간 근무해 재발급할 수 있는 카드는 6만장이 최대”라고 설명했다.
이어 “이번주 주말까지 (카드 재발급 등 대응을) 대부분 해소할 것으로 예상한다”고 덧붙였다.
앞서 롯데카드는 온라인 결제서버를 해킹당해 총 297만명의 고객정보가 유출되는 보안 사고를 일으켰다. 롯데카드는 이날 공식 입장문을 통해 부정 사용 가능성이 있는 고객 28만명에게 카드 재발급 안내 문자를 발송하고, 안내전화를 병행해 재발급 조치가 최우선적으로 이뤄지도록 하고 있다고 발표했다.