KT, 해킹 추가 피해 또 확인…과기부 “보안 체계 정비”

KT, 소액결제 외 교통카드 등에서도 추가 피해 정황 확인
류제명 과기정통부 차관 “모든 피해는 회사가 보상, CISO 권한·AI 보안 체계 강화할 것”

과학기술정보통신부(이하 과기부) 류제명 제2차관은 19일 정부서울청사에서 열린 과기정통부·금융위원회 합동 브리핑에서 “최근 통신·금융 분야에서 연이어 발생한 해킹 사고를 엄중히 받아들이고 있으며, 국민 피해 최소화와 근본적 보안 체계 정비 등 대책 마련에 총력을 기울이겠다”고 밝혔다.

류 차관은 KT 고객 대상 소액결제 해킹 조사 경과를 공개하면서, KT가 외부 보안 점검 과정에서 추가 침해사고를 확인하고 18일 밤 11시57분 정부에 신고했다고 설명했다. 경찰이 용의자를 검거하면서 민관합동조사단은 관련 자료를 분석 중이며, 불법 ‘초소형 기지국(펨토셀)‘을 통한 망 침입 방식과 개인정보 유출 경로를 집중 조사하고 있다.

조사단은 KT의 펨토셀 관리 실태를 점검해 문제점을 시정토록 했으며, 펨토셀 동작 방식을 확인하기 위해 별도 환경을 구축해 분석 중이다. 또 숨겨진 피해자가 빠지지 않도록 지난 6월 1일부터 9월 10일까지 소액결제를 이용한 고객 220만명의 2267만건 통화기록을 전수 조사했다.

그 결과 불법 펨토셀 식별번호(ID) 4개 외 추가 ID는 발견되지 않았다. 피해 규모는 당초 278명·1억7000만원에서 362명·2억4000만원으로 늘었으며, 2만30명이 불법 펨토셀에 노출돼 전화번호·국제이동가입자식별번호(IMSI)·단말식별번호(IMEI) 등이 유출된 것으로 확인됐다.

KT는 추가 피해자에게 요금을 청구하지 않고 무상 유심 교체를 지원하며, 모든 보상과 조치는 회사가 책임지고 진행하기로 했다. 과기정통부는 보호조치가 제대로 이뤄지는지 행정지도를 이어가겠다고 밝혔다.

류 차관은 “9월 9일부터는 인증을 거친 정상 펨토셀만 망 접속이 가능하도록 차단해 불법 펨토셀의 침투는 불가능하다”며 “다만 KT가 외부 점검에서 또 다른 침해사고를 발견해 추가 신고한 만큼, 사실관계를 신속히 파악해 추가 국민 피해를 막겠다”고 강조했다.

정부는 해킹 대응 방향도 제시했다. 기업의 고의적 사고 은폐 시 과태료 등 처벌을 강화하고, 정부가 기업 신고 없이도 조사할 수 있도록 제도 개선을 추진한다. 또 기업의 자발적 보안 투자를 유도하는 장치와 함께, 인공지능(AI) 기반 보안 체계 고도화도 적극 추진한다는 방침이다.

특히 기업 보안 거버넌스를 강화하기 위해 최고정보보호책임자(CISO) 권한을 최고경영자(CEO) 직속으로 두고 독립적인 의사결정이 가능하도록 체계를 정비하겠다고 밝혔다. 류 차관은 “보안 없이는 디지털 전환도, AI 강국도 있을 수 없다”며 “국민이 신뢰할 수 있는 안전한 디지털 환경 조성을 위해 범부처가 총력을 다하겠다”고 강조했다.

한편 금융위원회는 같은 날 롯데카드의 정보유출 사고와 관련해 약 297만명의 개인신용정보가 유출된 사실을 확인하고, 징벌적 과징금, 추가 보안 조치 등 제도 개선을 추진하겠다고 밝혔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network