[2025국감] 통신3사 해킹 질타…“증거보존·직권조사·피해자 배상” 촉구

By곽중희

‘서버폐기·보고지연·보상 미흡‘ 집중 질의
중국산 로봇청소기·안면인식 취약점 등 IoT 보안 공백도 도마 올라

21일 열린 국회 과학기술정보방송통신위원회(위원장 취민희, 이하 과방위)  국정감사에서는 통신 3사(KT·SK텔레콤·LG유플러스) 해킹 사고 대응과 보고 과정, 증거보존 조치, 피해자 보호 방안 등을 두고 강도 높은 질의가 이어졌다.

여야 의원들은 “국민 신뢰를 무너뜨린 사이버 침해 사고를 단순한 기술 문제가 아닌 구조적 관리 실패로 봐야 한다”며 통신3사의 책임 있는 종합적인 대응을 촉구했다. 의원들의 질의에 통신3사 대표들은 사태 수습과 재발 방지 의지를 밝혔고, 과학기술정보통신부와 한국인터넷진흥원(KISA)은 직권조사 제도화와 보안 컨트롤타워를 강화하겠다는 입장을 밝혔다.

KT ’사건 은폐·축소 논란’ 추궁, “합당한 책임 질 것, 근본 원인 규명은 아직”

KT에 대한 질의는 ‘사건 은폐·축소 의혹’에 초점이 맞춰졌다. 이훈기 더불어민주당 의원은 “KT는 7월 10일 침해 사실 확인 요청을 받은 뒤 세 차례에 걸쳐 서버를 폐기했고, 이는 은폐를 위한 조직적 행위로 의심된다”고 지적했다. 그는 “LG유플러스가 7월 19일 확인 요청을 받은 뒤 8월 12일 서버를 업데이트한 점도 (KT와) 같은 맥락”이라며, “해킹 정황이 있는 기업의 서버는 즉시 증거로 보전하도록 의무화해야 한다”고 비판했다.

김영섭 KT 대표는 “조사 초기에는 피해 범위가 제한적으로 파악돼 단계적으로 공개할 수밖에 없었다”며 “현재는 경찰 수사와 과기정통부 민관 합동조사에 전면 협조 중”이라고 밝혔다. 그는 “사태 수습 후 합당한 책임을 지겠다”는 입장을 거듭 강조했으나, “책임의 의미가 사퇴를 포함하느냐”는 질문에는 즉답을 피했다.

의원들은 특히 계속 거론된 KT의 펨토셀(초소형 기지국) 관리 부실 실태를 거론하며 “KT의 보안 체계는 2023년 이후 수차례 침해 경고를 받고도 개선이 없었다”고 조직문화와 리더십 문제를 지적했다. 일부 의원은 “보안 컨설팅 보고서에서 펨토셀 관리 부실이 반복 지적됐는데, 대표가 이를 몰랐다는 건 납득하기 어렵다”고 꼬집었다. 김 대표는 “보안 부문에 대한 전사 점검 체계를 재정비하고 있다”고 답했다.

참고인으로 출석한 구현모 전 KT 대표 역시 도마에 올랐다. 그는 “대표 재임 당시 펨토셀의 취약점을 발견하지 못했고 개선하지 못한 점에 책임을 느낀다”며 “만약 KT의 펨토셀 관리 부실이 원인이라면 내부적으로 신속히 개선할 수 있지만, 다른 경로를 통한 망 접속이라면 국가적 차원의 협력이 필요하다”고 말했다. 이어 “KT가 기관 통신사업자로서의 공공적 책임을 자발적으로 인식하고, 내부에서 문제를 찾아 해결하는 문화가 다시 살아나야 한다”고 덧붙였다.

피해 범위에 대한 질문에 김 대표는 “8월 1일 이후 추가 피해 확인은 없었다”고 답했지만, 그 이전 로그·트래픽에 대해서는 “자료가 부족해 검증이 어렵다”고 밝혔다. 의원들은 “증거보존 원칙이 훼손됐다”며 디스크 이미징 등 포렌식 절차 표준화와 외부 검증 절차 의무화를 요구했다.

KT는 피해 고객을 대상으로 위약금 면제 및 환불 조치를 진행 중이라고도 밝혔다. 김 대표는 “현재 피해가 확인된 고객에 대해서는 위약금 면제와 환불을 우선 시행하고 있으며, 조사 결과와 피해 유형을 종합해 전 고객 대상의 보상 범위 확대를 검토하겠다”고 설명했다. 이에 일부 의원은 “조치가 너무 늦고 적용 대상이 제한적”이라고 지적하며 “피해자 보호는 수사 결과와 무관하게 선제적으로 이뤄져야 한다”고 강조했다.

LG유플러스, 포렌식 재설치 논란신고 지연 경위도 쟁점

LG유플러스는 이날 국감에서 ‘증거보존 공방’의 중심에 섰다. 최민희 위원장은 “9월 12일 스탠바이 서버가 재설치된 이후 이미징 자료가 제출됐다”며 “재설치 전 증거가 없어진 것 아니냐”고 물었다.

이에 홍범식 LG유플러스 대표는 “계정접근관리(APPM) 장비가 이중화되어 주기적으로 동기화되기 때문에 액티브 서버의 이미징만으로도 증거보존이 가능하다고 판단했다”고 해명했다. 그러나 “스탠바이 서버 이미징은 어렵다”고만 답해 최 위원장은 “이건 대표가 아닌 기술 담당자가 나와야 할 사안”이라고 지적했다.

이해민 조국혁신당 의원은 “이 문제는 정부가 반드시 조사해야 한다. KT 서버 폐기 논란을 보고도 이런 일이 반복됐다는 건 충격적”이라며 “결국 LG유플러스가 KISA에 신고를 하지 않았기 때문에 일이 커진 것”이라고 비판했다. 홍 대표는 “국회와 과기정통부의 절차에 따르겠다. 신고하겠다”고 답했다.

KISA는 지난 7월 LG유플러스에 해킹 정황을 사전 통보했다. 당시 외부 해커 조직이 LG유플러스 시스템에 침투한 정황이 포착됐고, 9000여개 서버 목록과 8만여개 계정 정보, 일부 직원의 실명과 아이디가 노출된 것으로 확인됐다. 하지만 회사는 침해와 유출을 구분하며 신고를 미루다가 9월에야 공식 보고했다. 의원들은 “침해 통보를 받은 시점에 즉시 조치·신고하지 않은 것은 명백한 관리 소홀”이라고 지적했다.

이해민 의원은 또 “관리자 페이지 백도어 비밀번호 방치, 암호화 키 평문 저장, 세션 정보 노출 등 구조적 보안 결함이 다수 발견됐는데도 문제없다는 듯 넘어갔다. 계속 지켜보겠다”며 추가 자료 제출을 요구했다. 이어 “협력 보안업체가 유출 정황을 보고했는데도 본사가 공식 신고하지 않았다”며 “보안 위탁 구조의 허점을 보여준 사례”라고 비판했다.

SK텔레콤, 위약금 면제 불만족 지적, “소비자 중심 보상” 약속

SK텔레콤에 대해서는 유심 해킹 사고 이후 고객 보상 조치의 실효성과 투자 축소 문제 질의가 집중됐다. 의원들은 “국내 1위 통신사가 보안 전담 인력과 예산을 줄이고, 고객 위약금 면제도 최소한의 수준에 그쳤다”고 지적했다.

유영상 SK텔레콤 대표는 “보안 투자를 단순 수치로 비교하긴 어렵지만, 전체 예산 내 비중은 오히려 확대하고 있다”고 해명했다.

또한 피해자 구제 조치와 관련된 지적도 이어졌다. 의원들은 “피해 고객 위약금 면제가 87일분(4월 19일부터 7월 15일+10일 추가)에 그쳐 조치가 늦고 범위도 제한적”이라고 비판했다. 이주희 더불어민주당 의원은 “통신사들이 피해를 인지하고도 방통위 권고 후에야 움직였다”며 “소비자 신뢰를 회복하려면 자율 보상 체계를 먼저 마련해야 한다”고 말했다.

이에 대해 유 대표는 “소비자 중심으로 합리적인 보상 기준을 재검토하고, 피해 범위가 확정되는 대로 추가 조치를 시행하겠다”고 답했다.

안면 인식·중국산 로봇청소기 등 생활 보안 허점 거론

사물인터넷(IoT) 기기 등 일상 생활에서 발생할 수 있는 보안 문제도 추가 쟁점으로 떠올랐다. 최민희 위원장은 “통신 3사의 안면인식 인증 과정에서 3D 가면을 비춘 뒤 타인의 얼굴로 인증이 통과되는 사례가 있었다”며 “명백한 보안 시스템의 결함”이라고 지적했다.

이어 그는 통신3사에 안면 인식 인증과 관련해 “10월 말까지 패치 배포를 완료하고 결과를 보고하라”고 지시하며 “패치 완료 후 실제 재실험을 하겠다”고 강조했다. 의원들은 안면인식의 ‘라이브니스(liveness)’ 검증이 부실할 경우 본인확인 신뢰성이 심각하게 훼손된다고 지적하며, FIDO 기반 다중인증 도입 확대를 주문했다.

사진=국회방송 캡처

또한 최수진 국민의힘 의원은 중국산 로봇청소기 등 가정용 사물인터넷(IoT) 제품의 보안 문제를 언급했다. 그는 “KISA가 사전 점검을 실시한 결과, 일부 제품에서 카메라 강제 활성화·영상 유출 가능성이 확인됐다”며 “이제는 우리 집이 데이터센터가 될 수도 있는 상황”이라고 말했다. 이에 대해 이상중 KISA 원장은 “취약점을 확인한 제조사에 시정 조치를 요구했고, 현재는 수정이 완료됐다”고 보고했다.

의원들은 기업 동의 없이도 점검을 강제할 수 있는 법적 근거를 마련하고, 사물인터넷(IoT) 보안인증 제도의 실효성을 높여야 한다고 촉구했다.

정부·KISA “직권조사 법제화·보안 컨트롤타워 강화공감

정부 기관을 향한 질의는 ‘직권조사 권한’ 확보에 집중됐다. 의원들은 “민간 데이터센터·통신사 해킹사고가 자진 신고에만 의존하고 있어 은폐·축소 유인이 크다”며 “직권조사 체계를 법적으로 명문화해야 한다”고 주문했다.

류제명 과기정통부 차관은 “자발 신고만으로는 한계가 있다”며 “전문가 판단에 따른 직권조사 근거를 법제화하고, 조사 결과를 중간 단계에서 투명하게 공개하겠다”고 답했다.

이상중 KISA 원장은 “직권조사 체계가 마련돼야 국가 차원의 신속 대응이 가능하다”며 “국민이 자신의 개인정보 유출 여부를 한 번에 확인할 수 있는 ‘통합 조회’ 서비스도 기술적으로 구현 가능하다”고 밝혔다.

이에 신성범 국민의힘 의원과 이상휘 국민의힘 의원은 “기업 해킹 대응 시 국가정보원과 공조 체계를 강화해야 한다”며 “국가 차원의 사이버 대응 지휘라인 등 컨트롤타워를 명확히 할 필요가 있다”고 강조했다.

참고인으로 참석한 박세준 티오리 대표는 “여러 제도도 중요하지만, 많은 기업과 기관들이 여전히 보안의 기본을 간과한다”며 “비밀번호 관리, 취약점 점검, 시스템 모니터링 같은 기본 절차를 지속적으로 유지하는 것만으로도 대부분의 침해 사고를 막을 수 있다”고 강조했다. 그는 “현 기술 수준에서도 관리만 제대로 하면 지금보다 훨씬 높은 수준의 보안을 유지할 수 있다”며, “해외에서도 대형 통신사 해킹은 계속 발생하고 있어 한국만의 문제로 보기는 어렵다”고 덧붙였다.

국회는 국정감사에서 단순히 해킹과 정보 유출 사고에 대한 책임 추궁하는 것을 넘어, 국내 보안 거버넌스 전반의 구조 개편을 요구하는 논의로 이어갈 것으로 보인다. 국회는 ▲침해 사고 관련 포렌식 증거보존·증거 관리 절차 표준화 ▲해킹·개인정보 유출 사고 직권조사·중간조사 공개 제도화 ▲피해자 통지·배상 표준 확립 ▲생체인증·IoT 보안 강화 등을 핵심 과제로 제시했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.