19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑을 마친 류제명 과기정통부 제2차관(오른쪽부터)과 권대영 금융위 부위원장이 퇴장하고 있다. 맨 왼쪽은 사고가 발생한 롯데카드 관계자./연합뉴스
[시사의창=정용일 기자] KT와 롯데카드를 겨냥한 대규모 해킹 사태가 연이어 발생하면서 국민 불안이 커지고 있다. 단순한 보안 사고를 넘어, 국내 정보보호 인증 제도의 허점과 정부의 대응 태도까지 도마 위에 오르고 있다. KT는 무단 소액결제 사태가 확산되는 와중에 내부 서버가 침해된 사실까지 추가로 드러나며 파장이 걷잡을 수 없이 커졌고, 롯데카드는 전체 회원의 3분의 1에 달하는 고객 정보가 한꺼번에 유출돼 금융권 전반에 대한 신뢰가 흔들리고 있다.
사태는 단순한 기술적 문제를 넘어 정치·사회적 파장을 예고하고 있다. 인증을 받은 기업조차 뚫리는 현실, 늦장 신고와 은폐 논란, 정부의 선언적 대책 등이 겹치면서 “한국 사회 전반이 사이버 안보 취약 지대에 놓인 것 아니냐”는 우려가 제기된다.
KT의 경우 지난 4일부터 시작된 무단 소액결제 문제는 처음에는 “일부 고객의 피해”로만 알려졌다. 회사 측은 사건 초기 “개인정보 유출은 없다”고 단언했으나, 불법 기지국을 통한 가입자식별정보(IMSI) 유출 정황이 확인되자 입장을 번복했다. 불과 며칠 뒤에는 국제단말기식별번호(IMEI)와 휴대전화 번호까지 추가로 유출됐음을 인정했다. 연이어 발표되는 사실들은 “사건 축소·은폐에만 급급한 것 아니냐”는 비판으로 이어졌다.
그러나 진짜 충격은 서버 침해 사실이었다. KT는 19일 정부 합동 브리핑 직전 내부 점검에서 서버 침해 흔적 4건과 의심 정황 2건을 확인했다고 발표했다. 문제는 이 사실을 이미 15일에 인지하고도 전날 기자회견에서는 이를 공개하지 않았고, 당국 신고도 늦었다는 점이다. ‘말 바꾸기’ 논란은 더욱 거세졌다. KT는 네트워크·마케팅 부서와 CISO 부서 간 소통 부재를 이유로 들었지만, 여론은 쉽게 수긍하지 않았다.
피해 규모도 눈덩이처럼 커지고 있다. 불법 결제로 인한 피해자는 처음 278명에서 362명으로 늘었고, 피해 금액도 1억7천만 원에서 2억4천만 원으로 증가했다. 불법 펨토셀에 노출된 고객은 이미 2만 명을 넘어섰다. 무엇보다 서버 침해로 인증키까지 유출됐을 가능성이 거론되면서, 복제폰 생성이라는 최악의 시나리오까지 배제할 수 없는 상황이 됐다.
브리핑하는 금융위원회 부위원장
19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 권대영 금융위원회 부위원장이 사고 관련 설명을 하고 있다./연합뉴스
한편, 롯데카드의 경우 피해 규모가 더 방대하다. 회사는 총 960만 명 회원 중 약 297만 명의 개인정보가 유출됐다고 밝혔다. 이는 전체 회원의 3분의 1에 해당하는 수치다. 유출 정보에는 이름, 연락처뿐 아니라 주민등록번호, 카드번호, 유효기간, CVC 번호까지 포함됐다. 특히 28만 명은 카드 정보를 이용한 키인(Key in) 거래가 바로 가능한 상태여서 해외 직구 사이트나 온라인 결제에서 실제 부정 결제가 발생할 수 있는 위험에 직면했다.
더 큰 문제는 롯데카드가 불과 두 달 전 금융보안원으로부터 ISMS-P 인증을 받았다는 점이다. 인증을 막 끝낸 회사에서 곧바로 대규모 정보 유출이 발생하면서 “인증 제도가 종이쪼각에 불과한 것 아니냐”는 냉소가 퍼지고 있다. 실제로 금융당국은 이번 사고가 2017년에 설치됐어야 할 보안 패치가 누락된 상태에서 발생했다고 밝혔다. 금융보안원은 “ISMS-P는 관리 체계가 운영되고 있다는 의미일 뿐, 해킹 불가능을 보장하지 않는다”고 설명했지만, 인증의 실효성에 대한 근본적 의문은 피하기 어렵다.
정부의 대응은 오히려 국민 불신을 키우고 있다. 과학기술정보통신부와 금융위원회는 합동 브리핑에서 범부처 협력을 통한 피해 최소화를 강조했다. 기업이 침해 사실을 은폐하거나 늦게 신고할 경우 과태료를 강화하고, 징벌적 과징금, 최고정보보호책임자(CISO) 권한 강화, 보안 투자 확대 등의 제도 개선을 추진하겠다는 계획도 내놨다. 그러나 정작 구체적인 실행 방안은 제시되지 않았다. 피해가 눈앞에서 커지고 있는데도 ‘원칙적 선언’에 머문다는 비판이 제기된다.
금융당국의 늑장 대응도 도마 위에 올랐다. 롯데카드는 해킹 사고 이후 보름 넘게 홈페이지에 “정보 유출은 없다”는 공지를 게재했는데, 이를 관리·감독해야 할 금융위나 금융감독원이 적극적으로 제동을 걸지 않았다는 것이다. 실제로 현장 조사 과정에서 당초 신고보다 100배 넘는 개인정보가 유출된 것으로 드러나면서 “과잉 대응을 우려해 소극적 태도를 보였다”는 지적이 뒤따랐다. 금융위는 “확인되지 않은 사실을 성급하게 발표하면 오히려 국민 불안이 커질 수 있다”고 해명했지만, 이미 신뢰는 크게 훼손된 상태다.
경위 설명하는 KT 네트워크기술본부장
19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 구재형 KT 네트워크기술본부장이 사고 경위를 설명하고 있다. 왼쪽은 금융위원회와 롯데카드 관계자(맨 왼쪽)./연합뉴스
이번 사태는 단순한 기업 보안 문제를 넘어 국가안보 차원의 문제로까지 비화할 조짐을 보인다. 통신사 서버와 금융사 고객 정보가 동시에 뚫리면서, 국가 기간망 자체가 해킹에 취약한 것 아니냐는 불안이 커지고 있다. 실제로 보안 전문가들은 “KT와 롯데카드 사례는 빙산의 일각일 수 있다”며 “다층적이고 통합적인 사이버 보안 체계가 시급하다”고 경고한다.
정부는 국가안보실을 중심으로 국정원, 개인정보보호위원회 등 관계 부처가 참여하는 종합 대책을 준비 중이라고 밝혔지만, ‘사후약방문’이라는 비판에서 자유롭지 못하다. 그동안 반복된 대규모 개인정보 유출 사고에서 보여준 늑장 대응과 축소 발표가 국민 불신의 뿌리가 되고 있기 때문이다.
이번 사건은 결국 정부와 기업 모두에게 뼈아픈 교훈을 남겼다. 인증만 믿고 방심한 기업, 불투명한 정보 공개로 시간을 끌다 불신을 자초한 정부, 이 두 가지 요인이 맞물리며 사태를 키웠다는 평가가 나온다. 전문가들은 “해킹은 언제든 발생할 수 있다는 전제 아래, 투명한 공개와 신속한 대응이 신뢰 회복의 출발점”이라고 강조한다.
정용일 기자 citypress@naver.com