소액결제 해킹에 이어 서버 해킹까지 당한 KT(대표 김영섭)가 잇따른 입장 번복으로 불신을 자초하고 있다. 국회를 중심으로 KT의 사건 축소·은폐 의혹을 지적하며 개선을 요구하는 목소리가 커지고 있다.
22일 업계에 따르면 KT는 9월 4~5일 소액결제 해킹 사실이 외부에 알려진 뒤 여러 차례 입장을 바꾸고 있다.
KT는 해킹 사태 직후 “개인정보 유출은 없다”고 입장을 밝혔다. 9월 10일 과학기술정보통신부 브리핑에서도 같은 주장을 반복했다. 그러나 하루 뒤 열린 자체 1차 브리핑에서는 “5561명 고객의 국제이동가입자식별정보(IMSI) 유출 정황이 확인됐다”며 개인정보보호위원회에 신고했다. 이후 KT는 “혼란을 야기했다”며 사과했다.
피해자 수와 피해액도 오락가락했다. KT는 1차 브리핑에서 “경기 광명 일대에서 피해가 집중 발생했으며, 비정상 결제 시도를 차단한 9월 5일 오전 3시 이후 추가 피해는 없었다”고 밝혔다. 당시 KT 집계는 피해 고객 278명, 피해액 1억7000만원이었다. KT는 “278명에서 수십 명 정도 늘어날 수 있다”고 설명하면서도 국회에는 “9월 4~5일 피해 건수는 없다”고 보고했다.
그러나 이후 불법 초소형 기지국 2개가 추가 발견됐다. 9월 18일 열린 2차 브리핑에서는 피해자 수를 362명, 피해액을 2억4000만원으로 정정했다. 이 자리에서 KT는 1차 브리핑에서 언급하지 않았던 국제단말기식별번호(IMEI)와 휴대폰 번호 추가 유출도 인정했다.
소액결제 피해 지역도 당초 설명과 달랐다. 황정아 더불어민주당 의원(국회 과방위 소속)이 KT로부터 제출받은 자료에 따르면 피해 지역은 광명·부천·과천, 서울 금천·영등포, 인천 부평을 넘어 서초·동작, 경기 고양시 일산동구까지 확산됐다.
또 KT 해명과 달리 9월 4~5일에도 무단 결제가 발생했다. 4일 피해 건수는 83건(피해액 2499만원), 5일은 14건(549만8000원)이었다. 추가 피해 사례가 확인된 만큼 피해자 수는 더 늘어날 전망이다.
서버 유출 관련 입장 번복도 논란이다. 구재형 KT 네트워크기술본부장은 2차 브리핑에서 “서버 인증키 값은 암호화돼 안전하게 저장돼 있다”고 밝혔다. 하지만 KT는 하루 뒤 서버 침해 정황을 확인했다며 한국인터넷진흥원(KISA)에 신고했다. 구체적으로 서버 침해 흔적 4건과 의심 정황 2건이다.
신고 지연과 은폐 의혹도 불거졌다. 최수진 국민의힘 의원(국회 과방위 소속)이 KISA로부터 제출받은 자료에 따르면 KT는 9월 15일 오후 2시 침해사고를 인지했지만, 18일 오후 11시 57분에 신고했다. 이는 24시간 이내 신고 의무를 규정한 정보통신망법을 위반한 것이다.
또 같은 날 오후 3시 열린 2차 브리핑 당시 이미 서버 해킹 사실을 알고 있었음에도 이를 공개하지 않았다. KT는 “무단 결제 담당 부서와 보안 부서 간 혼선 때문이다”라고 해명했으나 논란은 이어지고 있다.
서버 폐기 보고도 일관되지 않았다. 과기정통부가 8월 “침해 정황이 있다”고 지적한 원격상담시스템 서버와 관련해 KT는 “8월 1일 폐기했다”고 보고했다. 그러나 9월 19일 국회 과방위 긴급 현장 점검에서는 “8월 6일과 13일 각각 폐기했다”고 말을 바꿨다. KT는 “부서가 달라 착오가 있었다”고 해명했지만 석연치 않다는 지적이 나온다.
국회는 KT의 잇따른 입장 번복을 질타하며 24일 열리는 과방위 청문회에서 철저히 검증하겠다고 밝혔다. 황정아 의원은 “KT 해킹 사태의 전모가 밝혀질수록 거짓 해명이 드러나고 있다”며 “소액결제가 이뤄진 모든 고객에게 직접 결제 내역을 고지하고 피해 전수조사에 나서야 한다”고 촉구했다.
최수진 의원도 “KT가 소액결제 피해에 이어 서버 해킹을 당하고도 제대로 대응하지 않아 국민적 피해가 커지고 있다”며 “국회에서 철저히 따지겠다”고 말했다.
김광연 기자
fun3503@chosunbiz.com