시사위크=조윤찬 기자  KT 가입자들이 개인정보가 해킹돼 무단 휴대폰 소액결제가 발생했지만 KT는 부적절한 대응으로 여러 비판이 잇따르고 있다. 가입자 안내부터 침해사고 관련 잘못된 정보를 알리는 등 KT는 신뢰에 타격을 받았다. 국회는 지난달 해킹 청문회에 이어 국정감사에서도 KT에 대한 비판을 이어갔다.

◇ KT, 가입자 안내 미흡·늑장 대응 질타

14일 김영섭 KT 대표는 국회 정무위원회 국정감사에 증인으로 출석해 무단 휴대폰 소액결제 관련 미흡한 대응에 대해 사과했다. 이날 김영섭 대표는 국감에 참석한 증인들을 대표해 증인 선서를 했다.

김영섭 대표는 “KT가 여러 가지 잘못 관리를 했다”며 “사전 예방 조치를 못 해 전 국민을 불안하게 하고 고객들도 불안케 하고 정말 죄송하다”고 말했다.

김재섭 국민의힘 의원은 KT가 전체 고객에 문자로 침해사고를 알리지 않은 점을 지적했다. SKT는 유심 해킹에 대한 민관합동조사단의 조사가 나오기 전에도 전체 가입자가 피해가 발생했다고 가정하고 대응하는 모습을 보였다.

KT는 개인정보 유출 피해를 확인한 2만명에게만 소액결제 피해 관련 문자를 보냈다. 이에 대해 김영섭 대표는 “전체 고객에 통지하면 상관이 없는 고객들도 많기 때문에 우려가 되고 걱정이 많을 수 있어 신중하게 했다”고 설명했다.

2만명은 불법 초소형 기지국의 신호를 받아 IMSI(국제 이동 가입자 식별정보), IMEI(단말기 식별번호), 전화번호 등 3종의 개인정보가 유출된 KT 가입자들이다. KT는 일정 기간 사용하지 않은 초소형 기지국을 차단하는 시스템이 없어 해킹이 가능했다. 게다가 KT는 처음 개인정보 유출을 알렸을 때는 IMSI 이외 개인정보 유출은 없다고 했지만 같은 달 번복했다.

소액결제 피해 기간도 뒤늦게 공개됐다. KT는 처음에는 9월 이후부터의 대응 상황을 말했는데, 이후 의원실에 제출한 자료에서 8월 5일부터 발생한 사건이라는 점을 알렸다.

KT는 서버 침해사고도 있어 서버 해킹으로 얻은 개인정보를 무단 소액결제에 활용했는지를 조사할 필요가 있다. KT는 정부에 알리지 않고 4개월간 서버를 분석한 결과 침해정황을 발견해 지난달 18일 한국인터넷진흥원(KISA)에 신고했다. KT는 9월 15일에서야 서버 침해사고를 인지했다는 입장이다.

무단 소액결제 피해는 해커가 복제폰을 만들어 결제 인증을 했을 가능성에 대해 조사가 진행 중이다. 복제폰을 만들기 위해선 IMSI, 인증키(K, OPc), IMEI 3개가 있어야 한다. 그러나 KT는 침해사고가 의심되는 서버를 폐기하고 폐기 기간을 숨기며 정부 조사를 방해했다. 이에 과학기술정보통신부는 경찰에 수사를 의뢰한 상태다.

김재섭 의원은 “9월 1일 경찰이 KT에 소액결제 피해를 통보했다”며 “그러나 KT는 부인했다. 이렇게 부인하고 언론 플레이할 시간에 대응해야 했다”고 말했다. 이에 김영섭 대표는 “정말로 죄송하게 생각한다”고 답했다.

개인정보보호위원회는 8월 SKT 개인정보 유출에 대해 1,347억9,100만원 과징금을 부과했다. SKT 가입자들에 금전적 피해가 발생하지 않은 해킹이었다. 반면 KT는 실제 소액결제 피해가 발생하면서 개인정보위가 과징금 부과에 대해 어떤 판단을 할지 관심이 쏠린다.