[2025 국감 미리보기] 역대급 해킹 사태 증인 줄소환 – 주요 쟁점은?
국회 과학기술정보방송통신위원회(위원장 최민희, 이하 과방위)가 오는 10월 열리는 국정감사에 대규모 침해 사고와 개인정보 유출 사태를 겪은 기업과 기관 책임자들을 줄소환한다. 특히 21일에는 KT, SK텔레콤, LG유플러스 등 통신 3사 대표와 보안 책임자, 롯데카드 대표, 과학기술정보통신부 차관과 한국인터넷진흥원(KISA) 원장, 그리고 국가정보원 제3차장까지 등 기업과 주요 기관의 책임자들이 동시에 증인석에 오른다.
이미 지난달 청문회에서 사고 원인과 대응에 대해 의원들의 ‘늦장 대응’, ‘사고 은폐’, 관리 부실’ 등 책임을 추궁하는 질의가 쏟아진 만큼, 이번 국감에서는 지난 질의에 이어 대규모 해킹 사태에 대한 보다 정밀한 책임 공방이 예상된다.
KT, ‘서버 폐기 의혹·펨토셀 관리 부실’ 집중 포화 예고
소액결제 피해를 낳은 KT에서는 김영섭 대표를 비롯해 황태선 정보보호최고책임자(CISO), 서창석 네트워크부문장 등 핵심 임원들이 줄줄이 출석한다. 가장 큰 쟁점은 ‘서버 폐기 의혹’이다.
앞선 청문회에서 KT가 폐기 시점을 세 번이나 바꿔 말한 사실이 드러나자 이훈기 의원은 “은폐 의도가 없었다면 설명이 어렵다”고 질타했다. 노종면 의원 역시 “의심 정황이 남아 있는 상황에서 서버를 서둘러 없앤 것은 증거 인멸”이라고 비판했다. KT가 이 질문에 명확한 답을 내놓지 못한 만큼, 해당 의혹의 실체와 책임 소재를 놓고 더 치열한 공방이 예상된다.
펨토셀 관리 부실 문제도 다시 도마에 오른다. KT는 10년 동안 장비를 재인증하지 않고 망 접속을 허용했다. 자동 차단 체계조차 없었다는 지적이 다수 나왔고, 동시에 네트워크 인증 관리의 허술함이 반복적으로 제기됐다. 실제로 KT는 사고 발생 후에야 뒤늦게 펨토셀의 인증 주기를 1개월로 줄였다. 의원들은 “13년 전부터 펨토셀의 보안 위험성이 지적됐는데도 방치했다”며 추가 추궁을 예고했다.
통신 3사, 패스 인증 취약성과 보상 논란
유심 해킹 사태를 겪은 SK텔레콤의 유영상 대표와 해킹 정황이 나온 LG유플러스의 홍범식 대표도 국회 증인석에 선다. 소액결제와 본인인증 서비스 ‘패스(PASS)’가 해킹에 취약하다는 지적이 나와 “국민 생활 인프라인데 통신사들이 공동 관리 책임을 방기한 것 아니냐”는 질의가 재현될 가능성이 크다. 최형두 의원은 청문회 당시 “SK텔레콤, KT, LG유플러스까지 통신 3사가 줄줄이 뚫렸다. 정부와 기업이 컨트롤타워 역할을 제대로 못하고 있는 게 아니냐”고 지적한 바 있다.
LG유플러스의 경우 “내부 조사 결과, 개인정보 유출 정황은 없었다”는 공식 입장을 고수하고 있다. 하지만 LG유플러스의 협력 보안업체 시큐어키가 지난 7월 31일 자사 시스템 해킹 피해를 한국인터넷진흥원(KISA)에 신고하면서, LG유플러스와 연계된 데이터 관리 체계가 공격자 표적이 됐다는 정황이 드러난 바 있다. 이번 국감에서는 이 사건을 둘러싼 대응 과정과 현황도 의원들의 질문 대상이 될 것으로 보인다.
또 다른 쟁점은 고객 보상 문제다. SK텔레콤과 KT 모두 유심보호서비스 무료 가입, 소액피해 금액 전면 책임 등 일정한 대책을 내놓긴 했지만, 피해 규모와 사회적 파장을 고려했을 때 “이 정도 조치로 충분한가”라는 질의가 예상된다. 국회는 특히 “소비자가 입은 피해를 위약금 면제를 통해 통신사가 진정으로 책임질 의지가 있는지, 아니면 여론 무마용 대책인지”를 집중적으로 따질 것으로 보인다.
롯데카드, 보안 투자 축소와 늦장 대응
297만명의 개인정보 유출 사태를 낳은 롯데카드에서는 조좌진 대표가 증인석에 오른다. 롯데카드는 해킹 발생 시점과 인지 시점이 크게 어긋난 점에서 집중 질타를 받았다. “8월 중순 해킹이 있었는데, 회사는 그 사실을 2주 가까이 모르고 있었다. 보안 통제가 무력했다”는 비판이 이어질 것으로 보인다. 더 큰 문제는 보안 투자다. 업계에 따르면, 롯데카드의 보안 예산 비중은 MBK파트너스에 인수된 이후 꾸준히 줄어든 것으로 알려졌다.
아울러 사고 직후 회사가 발표한 수천억원대의 보안 투자 계획도 도마에 오를 전망이다. 일각에서는 “사고가 터진 뒤에야 급조된 대책 아니냐”, “매각을 앞두고 보여주기식 발표를 한 것 아니냐”는 비판이 이어져, 관련 질의도 나올 것으로 보인다.
국정원·과기정통부·KISA, 보안 컨트롤타워는 누구?
정부와 기관 차원의 대응도 도마에 오른다. 과방위는 국정원의 김창섭 제3차장을 증인으로 채택했다. 특히 국정원은 해외 해킹 전문 매체인 ‘프랙(Phrack)’에서 국내 기업과 기관을 대상으로 한 외부 해커의 해킹 자료가 공개된 건을 두고 집중 질의를 받을 예정이다. 국정원이 사이버 보안의 컨트롤타워 역할을 제대로 했는지, KISA·과기정통부와 공조 체계가 적절히 작동했는지가 관건이다.
지난 청문회에 참고인으로 참석했던 김승주 고려대학교 정보보호대학원 교수는 “KT, 통신 3사뿐 아니라 국가기관의 핵심 행정 업무 시스템인 ‘온나라 시스템’ 등도 이미 해킹을 당했을 가능성이 있다”고 우려한 바 있다. 이번 국감에서도 국정원이 국가 시스템 침투 가능성을 제대로 인지했는지, 관련 사실을 축소하거나 은폐하지는 않았는지가 핵심 질의로 이어질 것으로 보인다.
이상중 KISA 원장도 민간 보안 사고 초동 대응정 부재 이유에 대해 질문을 받을 예이다. 최민희 의원은 청문회 당시 이 원장에게 “책임자의 전문성이 부족해 이런 사단이 난 것이 아니냐”며 “제발 사퇴해 달라”고 촉구한 바 있다. 여기에 류제명 과기정통부 제2차관도 증인으로 참석해 정부의 초기 대응이 왜 지연됐는지, 직권조사 권한을 제때 행사했는지, 컨트롤타워로서 제 역할을 다했는지에 대한 질의를 받을 전망이다.
보안 투자와 제도 개선, 입법 논의 이어질까
올해 국정감사는 기업과 기관의 단순 해명을 넘어, ‘개인정보보호법‘ 개정에 따른 과징금 상향과 보안 투자 의무화 논의로 직결될 가능성이 크다. 특히 심각해지는 사이버 범죄에 대응하기 위한 특별사법경찰 제도화와 정부의 침해사고 조사 권한 확대를 위한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률‘ 개정도 주요 의제로 거론된다.
이미 국회에서는 ▲개인정보 유출 통지 의무 강화 ▲침해사고 은폐와 늑장 신고를 차단하기 위한 직권 조사 확대 ▲징벌적 과징금 상향 등을 담은 다수의 법 개정안이 발의돼 있다. 이번 국감에서는 이러한 입법 움직임에 대해, ‘기업 책임을 어디까지 강화할지, 수사 권한을 어디까지 넓힐지, 그리고 제재와 지원을 어떻게 균형 있게 설계할지‘가 핵심 쟁점이 될 전망이다.
한편, 이번 해킹 사태와 관련한 사안은 정무위원회에서도 병행해 다뤄진다. 특히 정무위에는 금융권 보안 사고를 점검하기 위해 롯데카드 조좌진 대표와 함께 금융위원회·금감원 관계자들이 증인으로 소환될 예정이다. 개인정보 유출이 통신망을 넘어 금융망으로 확산된 만큼, 국감 현장에서는 통신, 금융, 공공기관 전반의 보안 체계가 동시에 도마에 오를 것으로 보인다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
