KT·롯데카드 등 해킹 파문…서버 폐기 의혹·늑장 대응 도마에

▲김영섭 KT 대표이사가 24일 오전 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 대규모 해킹사고(통신·금융) 관련 청문회에서 고개 숙여 인사하고 있다. 왼쪽은 조좌진 롯데카드 대표이사. (뉴시스)

국회 과학기술정보방송통신위원회가 24일 ‘대규모 해킹 청문회’를 열어 KT와 롯데카드를 강하게 질타했다. 이날 청문회에선 KT의 해킹 의혹 서버 폐기 등 ‘해킹 은폐·사건 축소’ 의혹이 여야를 막론하고 제기됐다. KT는 개인정보가 유출된 가입자에 대한 위약금 면제를 추진하겠다고 밝혔다.

이날 황정아 더불어민주당 의원은 “피해 지역은 왜 철저하게 가리고 있었나”라며 “KT는 소액결제 전수조사했다고 하다가 ARS 한정이지 않나, SNS 인증은 빠진 것 아니냐고 지적하자 그제서야 전체 피해 확인하겠다고 했다”고 말했다.

무단 소액결제 피해가 당초 알려진 서울 서남권·경기 일부 지역뿐 아니라 서울 서초구·동작구·경기 고양시 등에서도 일어난 사실이 뒤늦게 알려진 것을 두고 황 의원은 “은폐가 아니면 무능 둘 중 하나”라고 꼬집었다.

특히 해킹 의혹 서버 폐기에 대한 질의가 쏟아졌다. 이주희 민주당 의원은 “KT의 서버 폐기 과정을 보면 증거인멸이 됐다고밖에 볼 수 없을 정도로 이상한 점이 한두 가지가 아니다”라며 “최종적으로 침해 사실이 확인됐다는 확정 보고가 있지도 않은 상태에서 서버 8대 중 6대의 폐기가 일어났다”고 지적했다.

박충권 국민의힘 의원이 “증거 남겨둬야 하는 것 아니냐. 급하게 서버 폐기한 이유가 뭐냐”고 질의하자 황태선 KT 정보보호실장 상무는 “내·외부 조사 크로스체크 했을 때 침해 흔적은 확인되지 않았지만 의심 정황이 1건이 남아 있다 보니 찜찜했다”며 “8월에 서비스 전환 계획 잡혀있으니 서비스 조기 종료를 하자고 했다”고 말했다.

이번 사태를 키운 원인으로 KT의 펨토셀 관리 부실이 지목됐다. 이상휘 국민의힘 의원이 “펨토셀 관리 부실이 이번 사건을 초래한 기본적인 원인”이라고 말하자 김 대표는 “관리가 아주 부실했다”고 시인하며 “사고 이후에 망에 붙지 못하도록 조치했다”고 밝혔다.

김 대표가 “펨토셀의 유효 인증기간이 10년으로 설정돼 있다”고 말한 것을 두고 최민희 위원장은 “10년 동안 관리 안 했다는 얘기”라고 강조했다. KT에서 2016년 이전 도입된 펨토셀은 약 3000대가 망실된 것으로 알려졌다. 참고인으로 출석한 이종현 SK텔레콤 정보보호최고책임자(CISO)에 따르면 SKT는 3개월간 사용되지 않는 펨토셀은 삭제해 망에 붙지 못하도록 처리한다.

KT는 개인정보가 유출된 고객에 한해서 위약금 면제를 고려하겠다는 입장이다. 위약금 면제를 검토하느냐는 한민수 민주당 의원의 질의에 김 대표는 “정보 유출까지 피해가 발생한 고객 2만 30명에게는 적극적으로 검토한다”며 전체 위약금 면제 여부는 “최종 조사 결과를 보고 피해 내용을 고려해 검토할 예정”이라고 말했다.

한편 이날 청문회에 참석한 조좌진 롯데카드 대표는 카드 재발급이 늦어지는 이유에 대해 “하루 24시간을 온전히 가동해서 재발급할 수 있는 캐파(Capa)가 6만장”이라며 “카드 재발급이 100만명까지 밀려있는 상황으로 이번 주말까지는 대부분 해소가 될 것”이라고 밝혔다.

‘개인정보보호관리체계(ISMS-P)’ 인증의 실효성에 대한 의문도 제기됐다. 롯데카드는 지난 7월 19일 해당 인증을 취득했지만 한 달도 안돼(8월 14일) 개인정보 유출 사고가 발생했다. 이혜민 조국혁신당 의원은 “지금의 보안인증제도는 기업에 면죄부 주는 과정”이라며 “보안 체계를 뜯어고쳐야 한다”고 말했다.

롯데카드의 '늑장 대응'에 대한 지적도 나왔다. 조 대표는 "악성코드가 발견됐을 때라도 신속하게 금융당국에 신고했다면 혹시라도 발생할 피해를 막을 수 있는 것 아니었냐"는 이정현 민주당 의원의 질의에 "침해행위와 침해사고를 구분해 보고하고 있으며 침해행위만으로는 보고 의무가 없다"는 취지로 해명했다.

롯데카드는 지난달 보안패치 누락으로 해킹 사고가 발생해 297만명, 약 200GB의 회원 정보가 유출됐다. 이 중 28만명은 연계정보(CI), 주민등록번호, 카드번호와 유효기간, CVC 번호 등까지 유출됐다. 조 대표는 이날 사임을 포함한 인적 쇄신을 고려 중이라고 밝혔다.