KT가 최근 발생한 대규모 무단 소액결제 피해와 관련해 인증 시스템과 기지국 관리의 부실을 인정하면서, 사태의 원인과 책임 공방이 국회 청문회에서 집중적으로 거론됐다.
문제의 핵심은 ‘펨토셀’이라 불리는 초소형 기지국의 관리 부실이다. 펨토셀은 실내에서 휴대전화 이용 시 신호를 증폭해주는 장치로, KT가 이를 외부 업체에 위탁해 관리해온 것으로 드러났다. 하지만 이 과정에서 보안에 빈틈이 생겨, 범죄자가 펨토셀을 불법 설치하거나 활용해 인증 문자 등을 가로챈 정황이 포착된 것이다. 김영섭 KT 대표는 펨토셀의 유효 인증 기간이 10년으로 길게 설정된 점 역시 관리 소홀의 한 원인이라며 책임을 인정했다.
현재 KT는 피해자들이 이용한 문자 인증(SMS), 자동응답 인증(ARS), 패스앱 등 모든 인증 과정을 전반적으로 재분석하고 있다. 초기에는 ARS 인증 기반의 피해만을 제한적으로 조사했던 KT는, 국회와 당국의 강한 지적을 받고 나서야 전체 인증 데이터를 점검하겠다는 방침을 밝혔다. 이에 따라 실제 피해 규모는 현재 파악된 것보다 더 클 수 있다는 우려가 제기되고 있다.
정부도 대응에 나섰다. 류제명 과학기술정보통신부 제2차관은 복제폰이 생성될 수 있는 수준의 정보가 해킹된 가능성을 배제하지 않고, KT의 주장에만 의존하지 않고 조사단을 통해 사실 관계를 철저히 확인하겠다고 밝혔다. 일부 의원은 KT가 서버를 조기 폐기하고 신고를 지연한 점에 대해 고의 은폐 가능성을 제기했고, 이에 대해 정부는 필요 시 경찰에 수사를 의뢰하겠다는 방침도 내놨다.
KT 내부에서도 해킹 위협에 대한 대응이 미흡했다는 반성이 이어졌다. 회사 측은 보안 조치에 대한 투자나 사전 예방노력이 효과적으로 이뤄지지 못했음을 인정하며 개선이 불가피하다는 입장을 밝혔다. 한편, 중국의 온라인 쇼핑몰 등에서 판매되는 모조 펨토셀이 불법 행위에 악용되는 장면도 함께 논의되며, 통신 인프라 전반에 대한 보안 정책 재검토가 필요하다는 지적이 나왔다.
이번 사태 이후 정부는 통신망 운영상의 보안 취약 요소 전반을 재평가하고, 유사 범행 재발을 막기 위한 종합 대책을 마련할 계획이다. 장기적으로는 인증 수단에 대한 보안수준을 업그레이드하고, 위임관리 시스템에 대한 감독 강화가 병행될 가능성이 높아 보인다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>