김영섭 KT 대표. 사진=KT
김영섭 KT 대표. 사진=KT

KT가 거듭되는 보안 리스크에 직면하고 있다. 해킹 정황에도 자진 신고를 거부하며 은폐 의혹이 불거진 데 이어, 최근에는 이용자를 겨냥한 소액결제 피해까지 발생했다. 이에 반복되는 논란이 김영섭 대표의 연임에도 부담으로 작용할 수 있다는 관측이 나온다.

자료 유출은 '인정', 침해사고 신고는 '외면'

4일 정보업계에 따르면 최근 미국 해킹 전문지 프랙(Phrack)과 국내 보안 전문가들의 분석을 통해 KT의 내부 자료가 외부로 유출된 사실이 확인됐다.

문제가 된 자료는 KT의 웹서비스에 사용되는 SSL 인증서와 개인키로, 외부에 노출돼선 안 되는 주요 보안 정보다. 한국인터넷진흥원(KISA)과 과학기술정보통신부는 해당 자료가 KT 내부 서버에서만 사용돼야 할 성격의 정보인 만큼, 이를 명백한 침해 사고로 판단하고 있다.

그러나 KT는 유출된 자료가 자사 정보라는 점은 인정하면서도 자진 신고는 거부했다. 자체 점검 결과 운영 서버 및 관련자 PC에서 외부 침입 흔적이 발견되지 않았고, 키 파일이 미상 경로에서 유출됐을 가능성이 높다는 입장이다. 또한 당시 키는 유효했지만 현재는 만료된 상태라고 덧붙였다.

KT 해킹 정황에 대한 논란은 서버 파기 의혹으로까지 번지고 있다. 

국회 과학기술정보방송통신위원회 전체회의에 출석한 류제명 과학기술정보통신부 2차관은, KT가 최근 관련 서버 일부를 파기한 사실을 확인했다고 밝혔다. 구체적인 파기 시점과 대상 서버의 성격에 대해선 명확히 언급되지 않았지만, 해킹 정황이 불거진 시기와 맞물리면서 의혹이 증폭되고 있다.

해당 서버가 침해 흔적이 담겼을 가능성을 배제할 수 없는 상황에서, KT가 본격 조사 이전에 서버를 폐기했다면 핵심 증거가 사라진 셈이 된다. 다만 KT 관계자는 "서버는 파기가 아닌 교체 시점이 돼 교체한 것"이라며 해당 의혹을 부인했다.

하지만 일부 보안 전문가들은 여전히 KT의 서버 폐기 시점에 주목하고 있다. 민감한 보안 정보가 외부로 유출된 이후 관련 장비가 변경됐다면, 의도와 관계없이 수사 단서가 제거되는 결과로 이어질 수 있다는 지적이다.

문제는 현행법상 기업이 자진 신고하지 않으면 정부가 침해사고에 대해 강제 조사를 실시할 수 없다는 점이다. 이 때문에 KT의 서버 파기 경위나 내부 감사 결과는 외부에서 확인할 방법이 없는 상태다.

이 같은 상황에서 최민희 국회 과방위원장은 "꼼수로 모면하려 하지 말고 자진 신고하고, 정부는 민관합동조단을 구성해 이번 해킹 사태의 실상을 낱낱이 파헤쳐야한다"며 "이런 꼼수를 막을 수 있는 관련법 개정에 즉각 나설 것"이라며 KT의 자진신고를 촉구했다.

 이용자 정보 뚫렸나…광명서 소액결제 피해 발생

KT를 둘러싼 보안 리스크는 실제 소비자 피해로까지 이어지고 있다.

업계에 따르면 최근 경기도 광명시에서 KT 이용자를 대상으로 한 소액결제 피해 사례가 잇따라 발생하며 경찰이 수사에 착수했다. 피해자들은 대부분 동일 지역 혹은 인근 아파트에 거주 중인 KT 가입자로, 주로 새벽 시간대 본인도 모르게 모바일 상품권 충전, 교통카드 결제 등의 명목으로 수십만원이 결제된 것으로 확인됐다.

경찰이 파악한 피해 건수는 총 62건, 금액으로는 약 1769만원에 달한다. 현재까지 피해자 수는 20명을 넘어섰으며, 지역 커뮤니티를 통해 추가 피해 사례가 접수되는 등 피해 규모는 더 커질 가능성이 있다.

이에 대해 KT 측은 "현재까지 본사 내부망이 침해된 정황은 없으며, 대리점 또는 유통망 등 외부 채널에서 정보가 유출됐을 가능성이 크다"는 입장을 밝혔다. 피해가 특정 지역에 집중돼 있다는 점에서, 전국 단위의 본사 서버망 침해보다는 지역 단위 유통망이나 대리점 단말기에서 발생한 사고일 가능성이 크다는 설명이다.

하지만 KT 고객 인증 정보와 개인정보는 대리점 등 위탁처리자에게 제공되는 구조이기에, 정보 유출 경로가 어디든 법적·관리적 책임은 본사에 있다는 지적도 뒤따른다.

현행법에 따르면 위탁처리자인 대리점에서 정보 유출이 발생하더라도, 본사는 수탁자에 대한 관리·감독 의무를 지며 책임을 면할 수 없다. 본사 서버망이 직접 침해되지 않았더라도 KT 고객의 정보가 유출돼 실제 피해가 발생한 이상, 이는 'KT 정보 유출 사고'로 간주될 수 있다는 분석이다.

무엇보다 이번 사안은 단순한 해킹 정황을 넘어, 실질적인 소비자 피해로까지 이어졌다는 점에서 사안의 심각성이 다르다는 지적도 나온다. 피해자들이 모두 KT 가입자라는 공통점을 보이는 데다, 결제 방식과 시간대까지 유사한 점에서 조직적인 정보 탈취 가능성도 제기된다.

한편 최근 반복되고 있는 보안 리스크는 김영섭 KT 대표의 연임 구도에도 변수로 작용할 수 있다는 전망이 나온다. 잇따른 보안 논란이 김 대표의 경영 성과와 리더십에 대한 평가에도 적잖은 부담으로 작용할 수 있다는 지적이다. 김 대표는 윤석열 정부 출범 이후인 2023년 8월 KT 대표에 취임했으며, 현재 임기는 2025년 3월까지다.

키워드
#KT #개인정보 유출 #보안사고 #해킹 #김영섭
저작권자 © 뉴스저널리즘 무단전재 및 재배포 금지
관련기사