김영섭 KT 대표(오른쪽)가 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. 심화영기자

[대한경제=심화영 기자] 국회가 ‘무단 소액결제ㆍ해킹’ 사태의 책임을 묻기 위해 김영섭 KT 대표와 통신 3사 보안책임자를 불러 세웠다. 초소형 이동통신 기지국(펨토셀) 관리 부실, 서버 폐기ㆍ고 지연, 피해 규모 축소 등 의혹이 집중 추궁되면서 기간통신사업자 KT의 보안체계 전반과 대응 방식이 도마에 올랐다.

24일 국회 과학기술정보방송통신위원회(과방위)가 연 ‘대규모 해킹 및 소비자 피해’ 청문회에는 김영섭 KT 대표, 이종현 SK텔레콤 통합보안센터장(부사장), 홍관희 LG유플러스 정보보안센터장(전무) 등이 증인ㆍ참고인으로 출석했다. 과방위 의원들은 KT의 펨토셀 관리 부실과 해킹 정황 은폐ㆍ보고 지연을 강도 높게 추궁했다.

김영섭 대표는 “소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많았다”며 관리 부실을 사실상 인정했다. KT의 펨토셀 유효 인증기간이 10년에 달해 SKT(3개월), LG유플러스(유효기간 수개월)보다 과도하게 길었다는 지적도 나왔다. KT가 보유한 펨토셀은 약 18만9000대로 SKT(1만대), LG유플러스(2만8000대)를 크게 웃돈다.

펨토셀은 건물 내부나 통신 음영지역에서 휴대전화 신호를 보강하는 초소형 이동통신 기지국이다. 이번 사건에서는 불법 유통ㆍ개조된 펨토셀이 인증문자ㆍIMSIㆍIMEI 등 가입자식별정보를 탈취해 소액결제를 우회한 것으로 의심된다.

의원들은 서버 폐기 및 보고 지연이 증거 인멸이 아니냐고 추궁했다. KT는 지난달 13일 구형 서버를 폐기했는데, 이 시점은 한국인터넷진흥원(KISA)이 중국 해킹 조직의 침해 의혹을 통보한 직후였다. 김영섭 대표는 “그런 생각(은폐ㆍ증거인멸)은 하지 않았고, 서버 폐기는 연간 수천대 수준으로 팀장 수준에서 전결한다”고 해명했지만, “은폐가 아니면 무능”이라는 질타가 이어졌다. 황정아 의원은 김 대표가 연임에 연연할 것인지 질의했으나 김 대표는 “우선은 사태 해결에 최선을 다해야 한다”고 일축했다.

피해 규모 역시 초기보다 확대됐다. KT가 처음 밝힌 피해 고객은 278명이었지만, 현재는 362명(누적 피해액 2억4000만원)으로 늘었다. 당국은 불법 펨토셀을 통해 약 2만여 명이 노출됐을 것으로 보고 ‘복제폰’ 가능성까지 조사 중이다. 류제명 과학기술정보통신부 2차관은 “고의성이 확인되면 경찰 수사 의뢰 등 강력히 조치하겠다”고 말했다.

이날 청문회에서는 인증 방식 개선도 도마 위에 올랐다. 이준석 개혁신당 의원은 “ARSㆍ문자인증만으로 결제가 가능한 구조가 문제”라고 지적했고, 류 차관은 “생체인증이나 결제비밀번호 등 2단계 강화 인증 도입을 검토하겠다”고 밝혔다. 

이번 사건을 계기로 통신망 보안과 인증체계 전반에 대한 대대적 점검이 불가피해 보인다. KT의 경우 펨토셀 10년 유효기간 동안 중간점검을 하지 않는 체제다. 이해민 의원은 “KT 가 기간통신사업자로서 기본적인 자질을 갖추고 있는지 의문 ” 이라면서 “KT 의 망 관리 부실이 국가적 위협으로 이어질 수 있는 만큼 , 철저한 조사와 검증이 필요하고 , 인적 쇄신을 포함한 근본적인 개선책도 뒤따라야 한다”고 주문했다.

전문가들은 “중고ㆍ미회수 펨토셀의 불법 유통과 취약한 인증 절차가 결합해 발생한 복합적 보안 사고”라며 “통신사들이 장비관리ㆍ인증방식을 근본적으로 강화해야 한다”고 지적했다.

심화영 기자 dorothy@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉