시사위크=조윤찬 기자  KT가 해킹된 서버를 폐기한 것으로 나타나 사건 은폐 의혹을 받고 있다. 정부는 국회 청문회에서 고의성을 확인하겠다고 밝혔다.

24일 국회 과학기술정보방송통신위원회는 해킹 청문회에 출석한 김영섭 KT 대표를 상대로 침해사고가 발생한 서버를 폐기한 것에 대해 집중 추궁했다.

KT는 지난 18일 오후 11시 57분 한국인터넷진흥원(KISA)에 서버 침해사고를 신고했다. 황태선 KT CISO는 “4개월 전부터 전사 서버 3만3,000대를 분석하고 지난 15일 내부 회의를 통해 침해사고를 인지했다”고 설명했다. 2개월 전 KISA는 7월 19일 화이트해커로부터 서버 침해정황을 제보받아 KT에 이를 알렸지만, KT는 7월 21일 KISA에 침해정황이 없다고 답변했다.

그러나 해당 침해사고가 발생한 원격상담시스템 서버는 8월 1일 폐기되며 KT를 둘러싸고 사건을 은폐하려 했다는 비판이 나왔다. KT는 폐기된 서버의 백업로그를 민관합동조사단에 공유한 상태다. 무단 소액결제 피해와 서버 침해사고 간 연관성이 있을 가능성이 제기되는 가운데 KT는 서버를 폐기하는 모습을 보였다.

김영섭 대표는 “소액결제 관련 여러 가지 사고를 저질러서 고객뿐만 아니라 전 국민들이 불안케 하고 걱정과 심려를 끼쳐드려 죄송하다”고 말했다. 한민수 더불어민주당 의원은 “김영섭 대표를 비롯해 책임자들이 모두 사퇴해야 한다”고 요구했다.

소액결제 인증이 가능해지려면 유심 인증키를 확보하고 복제폰을 만드는 게 필요하다는 분석도 나온다. 정부는 해커가 불법 초소형 기지국(팸토셀)으로 IMSI(국제 이동 가입자 식별정보)와 IMEI(단말기 식별번호)를 확보하고 서버 해킹으로 얻은 인증키로 복제폰을 만들어 결제 인증까지 진행했다는 시나리오를 포함해 조사하는 중이다.

8월 5일부터 9월 5일까지 362명의 2억4,000만원의 무단 소액 결제가 확인됐다. KT에 따르면 해커들은 불법 초소형 기지국(팸토셀) 신호를 받은 KT 가입자의 IMSI, IMEI, 전화번호 3종의 개인정보를 탈취했다. KT는 KISA에 인증키 탈취는 없다고 신고했다.

신성범 국민의힘 의원이 서버 해킹과 소액결제 연관성에 대해 묻자, 류제명 과학기술정보통신부 차관은 “연관성을 민관합동조사단에서 분석하고 있다”며 “침해사고와 KT가 폐기한 서버와 연관성은 있어 보여 확인하겠다”고 말했다.

이어 류제명 차관은 “KT 말에만 의존하지 않고 철저하게 보겠다”며 “서버 폐기 문제 및 신고 지연에 대해 고의성이 있는지 파악하는 대로 필요하다면 경찰 수사 의뢰 등 강력 조치하겠다”고 밝혔다.

KT는 무단 소액 결제 피해가 발생한 이후에야 불법 기지국을 차단하는 조치를 취했다. 김영섭 KT 대표에 따르면 KT는 이전까지 일정 기간 사용하지 않는 팸토셀을 차단하는 시스템이 없었다. 반면 SKT와 LG유플러스는 일정 기간 사용하지 않는 팸토셀을 차단하는 시스템을 갖췄다. KT는 해커가 과거 자사 통신망에 연동된 적이 있던 폐기된 팸토셀을 활용했을 것으로 봤다.

황정아 더불어민주당 의원은 “KT는 소액결제 피해 기간이 8월 5일부터였다는 것과 동작, 서초 등에서도 피해가 발생했다는 사실을 의원실이 자료 요청을 하자 뒤늦게 공개했다”고 비판했다. 사건을 은폐하려 했냐는 질문에 김영섭 대표는 “죄송하다”고 답했다.