피해 규모·은폐 의혹·보안 공백까지…통신 3사 ‘보안국감’ 도마[2025 국감]

국회 과학기술정보방송통신위원회 전체회의가 열리고 있다. ⓒ데일리안DB

불법 기지국을 통한 소액결제 피해 확산 등과 관련해 통신사들이 국정감사 증인으로 출석한다. 피해 규모와 유출 범위, 책임 및 보상 문제에 대한 여야 의원들의 집중 추궁은 물론 ‘보안 시스템 전면 재설계’ 요구를 받을 것으로 보인다.

20일 국회 과학기술정보방송통신위원회(과방위)는 오는 21일 오전부터 국정감사를 열고 김영섭 KT 대표, 유영상 SK텔레콤 대표, 홍범식 LG유플러스 대표를 증인으로 불러 관련 현안을 집중 질의할 예정이다.

KT, 피해 누락·은폐 의혹 집중 추궁 예상

‘무단 소액결제 사고’가 불거진 KT는 피해 규모, 유출 범위, 초동 대응, 보상 등이 최대 쟁점으로 떠올랐다.

최근 KT 3차 브리핑에 따르면 불법 펨토셀 ID는 기존 4개에서 16개 늘어난 총 20개로 확인됐다. 해당 펨토셀 ID 접속 이력이 있는 고객 수도 총 2만2200여 명으로 확대됐으며 소액 결제 피해 고객은 기존 발표 보다 6명이 추가된 368명(777건)으로, 피해금액은 319만원 늘어난 2억4319만원으로 늘었다.

유출 시점은 올해 6월이 아니라 작년 10월까지 거슬러 올라가는 것으로 나타났다. 범행 지역은 수도권에서 강원도까지 확산됐다.

갈수록 피해 건수와 규모가 늘어나면서 KT는 초동 대응과 신속한 대처가 부족했다는 비판을 피하기 어렵게 됐다. KT는 사건 초기 IMSI(국제 이동 가입자 식별번호) 외 다른 정보 유출을 부인했다가, 뒤늦게 IMEI(국제 이동장비 식별번호)·전화번호·서버 침해 사실을 인정했다.

아울러 소액결제 시 이름, 생년월일, 성별 등 개인정보가 필수적인 만큼, 이를 공격자들이 내부 침입 없이 어떤 경로로 확보했는지 집중 질의를 받을 전망이다. 현 단계에서는 외부 유출 정보의 활용 가능성과 내부 해킹 가능성이 모두 거론된다.

KT는 사건 초기 불법 펨토셀이 자사 네트워크에 접속한 정황을 즉각 차단하지 못했고, 소액결제 인증 체계에도 보완이 필요한 허점이 발견됐다는 지적도 받고 있다.

정보보호 관리체계(ISMS)의 실효성도 추궁 대상이 될 전망이다. KT는 ISMS 인증 기업임에도 해킹 사고 발생을 막지 못했다는 점에서, 인증 제도의 점검 필요성이 제기됐다.

사태 파악과는 별개로, KT가 피해 규모를 축소하거나 서버 자료 제출을 지연하는 등 조사를 고의로 방해했다는 의혹에 대해서도 수사 과정에서 소명해야 한다.

KT는 지난 8월 1일 관련 서버를 폐기했다고 제출했지만, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대) 등 13일까지 순차적으로 8대를 폐기했다. 또 폐기 서버의 백업 로그가 존재했음에도 이 사실을 9월 18일까지 조사단에 보고하지 않았다.

이에 과기정통부는 KT가 무단 소액결제 및 해킹 사태 조사 과정에서 허위자료를 제출하고 증거를 은닉하는 등 정부 조사를 방해한 정황이 있다고 보고 지난 2일 수사를 의뢰했다.

이날 위약금 면제 등 책임 및 보상 차원에서 KT 경영진이 대안을 제시할 지 관심이다. KT는 해당 기지국 신호를 수신한 고객 전원에게 무료 유심 교체와 유심 보호 서비스 가입을 지원하고 타사로의 이동을 희망할 경우 위약금 면제도 전향적으로 검토하겠다고 밝힌 상황이다.

서울 시내 전자상가 휴대폰 판매점에 붙은 이동통신 3사 로고. ⓒ연합뉴스

LGU+, 외주 해킹 연루 논란·SKT는 보안 신뢰 회복 시험대

LG유플러스는 외주 보안 관리업체 시큐어키 해킹 사건 연루 의혹에 직면했다.

지난달 8일 미국 보안 전문지 ‘프랙(Phrack)’은 해커 집단이 시큐어키를 해킹해 확보한 계정으로 LG유플러스 내부망에 침투, 서버 8938대 정보와 4만2256개 계정, 임직원 167명의 자료를 탈취했다고 보도했다.

앞서 한국인터넷진흥원(KISA)은 지난 7월 19일 관련 정황을 입수해 LG유플러스, KT, 시큐어키에 침해 사고 신고를 안내했다.

LG유플러스와 KT는 유출 사실이 확인되지 않았다며 신고하지 않았고, 시큐어키만 내부 서버 관리용 계정 권한 관리 시스템(APPM)의 소스코드와 데이터 유출을 신고했다. 개인정보보호위원회는 지난달 두 통신사를 상대로 직권 조사를 착수했다.

LG유플러스는 외주 보안 시스템이 해킹 당한 정황에 따라, 회사 내부 인증 및 접속 체계와의 연계성을 의심받고 있다. LG유플러스는 자체 조사에서 내부 침해 흔적은 없다고 부인하고 있으나 '기존 본인인증 방식이 과연 안전했는가'라는 비판에서 자유롭기 힘들다.

상반기 해킹 사태로 한 차례 홍역을 치른 SK텔레콤도 하반기 보안 이슈에서 자유롭기는 힘들 전망이다. 연이은 보안 사고로 3사 전체가 보안 시스템을 재점검하는 가운데 SK텔레콤 역시 내·외부에서 지속적인 보안 강화 및 데이터 보호 요구를 받고 있다.