KT 소액결제 해킹 사태가 자사 서버 침해 사실까지 드러나면서 사안이 단순한 금융사기 수준을 넘어, 국가 수준의 정보보안 허점을 드러낸 중대한 사건으로 번지고 있다.
이번 사태는 KT 이용 고객의 소액결제가 무단으로 이뤄지는 과정에서 시작됐지만, 점차 피해 범위가 확산되며 KT 내부 서버까지 해킹당한 사실이 확인되면서 심각성이 크게 부각되고 있다. KT는 지난 4월부터 외부 보안업체를 통해 4개월간 서버 점검을 진행한 결과, 서버 침해 흔적 4건과 의심 정황 2건을 발견했다고 밝혔다. 그러나 이 같은 내용을 당국에 늦게 신고한 데다, 초기에는 피해 사실을 축소했다는 지적도 제기되고 있다.
KT가 강조해온 “개인정보 유출이 없다”는 주장은 사실상 번복됐다. 처음에는 가입자 식별 정보(IMSI)만 유출됐다고 밝혔지만, 이후 국제 단말기 식별 번호(IMEI)와 휴대전화 번호도 유출된 것으로 확인됐다. 심지어 복제폰 생성에 활용 가능한 인증키 유출 가능성까지 제기되면서, 국민 불안이 더욱 커지고 있다. 실제 피해자도 계속 늘어나는 추세다. KT에 따르면 9월 현재까지 무단 결제 피해자는 362명, 피해 금액은 2억 4천여만 원에 달하며, 불법 펨토셀(기지국 유사 장치)에 노출된 고객은 2만 명이 넘는 것으로 파악되고 있다.
한편, 롯데카드 역시 대규모 정보 유출 사고를 공개하면서 금융보안 시스템 전반에 대한 불신이 커지고 있다. 롯데카드는 297만 명에 달하는 고객 정보, 약 200기가바이트 분량의 데이터가 유출됐다고 밝혔다. 특히 28만 명은 주민등록번호는 물론 카드번호, 유효기간, CVC 번호까지 함께 유출돼 신용카드 부정 사용 가능성도 열려 있다. 더욱이 롯데카드는 지난 7월 한국인터넷진흥원의 ISMS-P(정보보호 및 개인정보 관리체계) 인증을 받았음에도 이번 해킹 사고가 발생해, 인증제도의 실효성과 보안 패치 누락에 대한 책임론이 불거지고 있다.
정부는 뒤늦게 대응에 나섰지만, 실효성 있는 대책보다는 원칙적인 대응 수준에 그쳤다는 비판이 크다. 과학기술정보통신부와 금융위원회는 국가안보실과 함께 관계기관 합동으로 피해 최소화 대책을 추진하고 있으며, 기업이 해킹 사실을 늦게 신고할 경우 과태료를 물리는 방안도 검토 중이다. 금융위원회는 이번 사태를 계기로 금융기관 전산망의 긴급 점검과 함께 최고정보보호책임자(CISO) 권한 강화, 징벌적 과징금 도입 등을 제도화할 계획이라고 설명했다.
다만 해킹 피해가 금융과 비금융 영역을 가리지 않고 동시다발적으로 발생하는 상황에서, 과기정통부와 금융위로 이원화된 대응 체계의 비효율성이 한계로 지적되고 있다. 정부는 이에 따라 국가안보실을 중심으로 개인정보보호위원회와 국가정보원 등 관련 부처가 협력하는 종합적 해킹 대응 시스템을 구축할 방침이다.
이 같은 흐름은 기업의 보안 투자 확대를 유도하고, 정보보호 체계 전반에 대한 재정비를 촉진하는 계기가 될 수 있다. 그러나 보안 인증 체계의 무력화와 당국의 늑장 대응이 반복된다면, 국민 신뢰는 더욱 떨어질 수밖에 없다. 정부가 선언만이 아닌 실효성 있는 제도 개선으로 이를 입증해내야 할 시기다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>