연이은 해킹사고, 정부 대책은?(사진 연합뉴스)
 

KT 무단 소액결제 사태가 서버 침해 사실까지 드러나면서 사태의 심각성이 한층 커지고 있다.

롯데카드 역시 한국인터넷진흥원(KISA)의 정보 보안인증을 받아도 해킹이 가능하다는 점 등에 우려가 나온다.

피해 규모와 개인정보 유출 범위가 확대되는 것 아니냐는 우려가 커지는 가운데, 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 해킹 방지 대책을 내놨지만 선언적 수준에 그쳤다는 지적도 제기된다.

◇ 서버도 뚫린 KT, 추가 피해 우려…'말바꾸기' 해명 논란
KT는 이날 합동 브리핑 직전 자사 서버에서 침해 흔적 4건과 의심 정황 2건을 확인해 전날 자정께 한국인터넷진흥원에 신고했다고 발표했다.

지난 4월 SK텔레콤 해킹 사건 이후 외부 보안업체에 의뢰해 약 4개월간 전사 서버를 점검한 결과 이런 사실을 파악했다면서도 어떤 정보가 유출됐는지는 정확히 알 수 없다고 전했다.

KT는 조사 범위와 방식을 넓히고 있기 때문에 추가 피해가 드러난 것이라고 해명하지만, 피해 규모와 유출 범위가 점차 확대되면서 연일 사건 축소에만 급급한 것 아니냐는 비판이 제기된다.

특히 서버 침해 사실을 지난 15일 인지하고도 전날 기자회견에서는 이를 밝히지 않고 당국에 신고도 늦게 했다는 점도 도마 위에 오른다.

 

경위 설명하는 KT 네트워크기술본부장(사진 연합뉴스)
 

구재형 KT 네트워크기술본부장은 "소액결제 사건은 네트워크와 마케팅 쪽 부서가 진행하고 있고 서버 점검은 CISO 쪽에서 별도로 진행해 상호 연결성이 없었다"며 사내 소통 부족을 이유로 들었다.

KT는 소액결제 사태가 불거진 지난 4일부터 '개인정보 유출은 없다'고 강조했지만 11일 기자회견에서 불법 기지국을 통해 5천561명의 가입자식별정보(IMSI)가 유출된 정황을 인정했다.

이어 전날에는 IMSI뿐 아니라 국제단말기식별번호(IMEI)와 휴대전화 번호까지 유출 사실을 추가로 발표했다. 1차 발표 후 소액결제 이용 고객 전체의 통화기록을 분석해 추가 불법 기지국 ID를 확인했고 이를 가입자 전체 통화기록과 비교해 추가 피해자를 식별했다는 설명이었다.

이날은 외부 점검에서 서버 침해 사실까지 드러나며 또다시 말을 바꾼 셈이 됐다.

피해 규모도 커지고 있다. 실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7천만원에서 2억4천만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만 명을 넘어섰다.

무엇보다 서버 침해가 확인되면서 IMSI·IMEI와 함께 복제폰 생성에 필요한 인증키 유출 가능성도 제기된다.
구 본부장은 이날 브리핑 후 복제폰 가능성은 여전히 없느냐는 질문에 "그렇다"면서도 서버에서 유출된 정보에 대해선 "어젯밤 신고해서 합동조사단 결과가 나와봐야 수 있다"고 말했다.

류제명 과기정통부 2차관은 민관합동조사단이 복제폰 가능성도 염두에 두고 있냐는 질문에 "조사내용에 대해 구체적으로 확인해드리기 어려운 점을 양해해달라"고 말했다.

KT는 최근 미국 보안 전문지 '프랙'이 제기한 해킹 의혹, 무단 소액결제 사건, 서버 침해 신고까지 겹치며 다수의 공격 가능성에 노출된 상황이다. 특히 소액결제 조사는 6월까지만 이뤄져 추가 피해가 있거나 피해 기간이 확대될 가능성도 배제할 수 없다.

류 차관은 "추가 피해 가능성을 낮게 본다"면서도 "전혀 없다고 단정하긴 어렵다"고 말했다.

 

브리핑하는 금융위원회 부위원장(사진 연합뉴스)
 

◇인증에도 해킹 뚫려…당국 '소극대응' 지적도

롯데카드 역시 전날 브리핑을 통해 297만명, 약 200GB의 회원 정보가 유출됐다고 밝혔다. 960만명 회원의 약 3분의 1 수준이다.

이 중 28만명은 연계정보(CI), 주민등록번호뿐만 아니라 카드번호와 유효기간, CVC 번호 등까지 유출돼 단말기에 카드정보를 직접 입력해 결제하는 키인(Key in) 거래 시 부정 거래가 이뤄질 수 있다.

롯데카드의 경우 지난 7월 금융보안원으로부터 정보보호 관리체계 인증(ISMS-P)을 받은 지 얼마 되지 않아 사건이 터졌다는 점에서 인증체계 부실론이 제기된다. 금융보안원은 금융권 보안 전문기관으로, 금융권의 ISMS-P 인증을 담당하고 있다.

이번 해킹은 롯데카드가 지난 2017년 서버에 설치해야 하는 48개 보안패치 중 하나를 누락하면서 발생한 것으로 파악된다.

권기남 금융보안원 사이버대응본부장은 이날 브리핑에서 "정보보호 및 개인정보보호 관리체계(ISMS-P)는 정보보호 관리 체계 인증으로만 봐야 한다"며 "정보보호 관리체계 인증을 받은 기업들도 해킹이 언제든지 가능할 수 있다"고 밝혔다.

관리 체계가 잘 운영되고 있다는 인증을 받더라도 해킹의 가능성이 열려있다는 점을 직접 밝힌 만큼 제도의 신뢰성과 실효성 등에 의문이 나올 수 있다.

금융당국의 현장 조사 과정에서 당초 신고보다 100배가 넘는 광범위한 규모의 개인정보 유출이 확인됐는데, 당국이 과잉대응을 우려해 소극적으로 대처했다는 비판도 있다.

롯데카드는 해킹 사고 신고 이후 보름 넘게 홈페이지에 "정보 유출은 없다"는 공지를 올려놓았는데, 조사를 진행하는 금융당국이 이에 선제적으로 조치하지 않았다는 것이다.

권대영 금융위 부위원장은 "늑장대응을 하거나 감추는 일은 없었다"면서도 "확인되지 않은 사실을 너무 빨리 알리는 것도 과잉 대응을 해서 오히려 국민들이 불안할 수 있다. 시스템이 마비되는 측면도 있다"고 했다.

이어 "유출 정보만으로는 부정 사용의 가능성이 없다는 것이 저희의 판단이었다"며 "정확한 포렌식 결과로 (위험군별로) 분류해 안내하고 있다"고 부연했다.

또 해외 결제와 온라인 결제 등에는 추가 확인과 인증 절차가 있다며, 추가 부정거래 우려는 일축했다.

 

심각한 표정에 범정부 대응팀 공직자와  맨왼쪽  롯데카드 관계자(사진 연합뉴스)
 

◇ 정부 "범부처 협력해 피해 최소화…기업 보안 투자 유도·과징금 검토"
과기정통부는 이날 국가안보실을 중심으로 관계부처와 협력해 해킹 피해를 최소화에 나서겠다고 노력하겠다고 밝혔다.

현행 보안 체계를 원점 재검토해 근본 대책을 마련하고, 기업이 침해 사실을 고의로 늦게 신고하거나 미신고할 경우 과태료 처분을 강화하겠다는 방침이다.

또 정부가 해킹 정황을 확보하면 기업 신고 여부와 관계없이 조사에 착수할 수 있도록 제도를 손질하고, 기업의 보안 투자 확대를 유도할 방안도 마련하겠다고도 했다.

금융위는 롯데카드 사태를 계기로 금융회사 전산시스템과 정보보호 체계를 긴급 점검하고, 금융감독원·금융보안원을 통해 지도·감독을 강화하겠다고 밝혔다.

 

재발 방지를 위해 징벌적 과징금 도입, 최고정보보호책임자(CISO) 권한 강화, 소비자 대상 공시 확대 등 제도 개선도 추진한다는 계획이다.

양측은 기업 내 CISO 권한과 예산 통제권을 강화해야 한다는 점을 공통적으로 강조했다. 기업이 보안 분야에 예산 투자를 늘려야한다는 데에도 목소리를 같이 했다.

그러나 잇단 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 머물렀다는 지적도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계가 한계라는 점도 과제로 꼽힌다.

류 차관은 "국가안보실 중심으로 두 부처 외에도 국정원, 개인정보보호위원회 등 관련 부서들이 함께 논의 중"이라며 "종합 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해 종합대책 또는 분야별 대책을 강구하고 있다"고 했다.