[디지털데일리 강소현기자] 정부가 잇따른 사이버 침해사고가 발생한 통신사·금융사에 대해 엄중 대응을 예고했다. 기업이 침해 사실을 지연신고하거나 미신고하는 경우에 대한 과태료 등의 처분을 강화하고, 정부가 정황을 확보하는 경우 기업 신고 없이도 조사할 수 있도록 제도를 개선한다는 방침이다.

다만 KT 무단 소액결제 침해사고와 관련해 의문점을 해소할 만한 새로운 내용은 확인되지 않았다. 전날(18일) KT가 한국인터넷진흥원(KISA)에 새롭게 신고한 침해 정황 6건과 이번 침해사고와의 연관성도 아직 파악되지 못한 것으로 파악됐다. 추가 피해 발생 가능성에 대해선 없다고 보면서도 “단정짓긴 어렵다”고 봤다.

류제명 과학기술정보통신부 제2차관<사진>은 19일 오전 서울정부정사에서 진행된 ‘해킹 대응을 위한 과기정통부-금융위 합동 브리핑’에서 “민관합동조사단(이하 조사단)은 이번 소액결제 침해사고와 함께 새롭게 접수된 침해사고들에 대해 국민피해 방지를 위한 최선의 조치를 다하겠다”라며 이 같은 내용을 공유했다.

◆ 조사 범위 확대로 피해규모 늘어…추가될 가능성엔 “확답 어렵다”

앞서 서울·경지 지역 KT 고객을 중심으로 소액결제 다중피해 사건이 발생했다. KT 발표에 따르면 19일 기준 누적 피해 고객 수는 362명, 피해 금액은 2억4000만원으로 집계됐다. 이는 당초 278명, 1억7000만원 보다 크게 늘어난 규모다. 불법 초소형 기지국 ID도 2개 더 확인되어 총 4개로 집계됐다.

과기정통부는 이날 조사 범위를 확대하는 과정에서 피해 규모가 추가됐다고 밝혔다. 기존에 KT가 민원이 접수된 피해자들만을 대상으로 통화 기록 내 불법 소형 기지국 ID가 있는지 확인했다면, 정부는 지난 6월부터 ARS 인증을 거쳐 소액결제를 이용한 220만명의 모든 가입자를 대상으로 조사를 진행했다는 설명이다.

피해규모가 커질 가능성에 대해선 “확신할 수 없다”고 밝혔다. 정부는 불법 초소형 기지국 ID가 처음 발견된 시점과 최초 범행 발생 시점 사이에 기간이 상당한 점에 주목했다. KT 내부 시스템에서 불법 초소형 기지국 ID는 6월26일 처음 발견됐지만, 최초 범행 시점은 그로부터 1개월 뒤인 8월5일로 추정되고 있기 때문이다.

류 차관은 “현재 (정부) 판단으로는 불법 초소형 기지국 ID가 추가로 발견될 가능성은 없어 보인다”라면서도 “불법 ID가 최초로 발견된 시점은 6월26일인데, 이는 실제 피해 사례가 발생한 시점하고는 상당한 기간이 있다”라고 말했다.

이어 “KT 시스템에서 불법 초소형 기지국 ID가 감지됐을 때 어떻게 반응하는지 살펴보기 위한 일종의 몸풀기 기간이었다 보고 있다”라며 “다만, 언제부터 접근했는지 로그 기록에서 확인하기 어려운 측면도 있어서 전혀 추가적인 피해가 없다고 단정적으로 말씀드리기는 어려울 것 같다”고 덧붙였다.

반면, KT는 추가 피해 가능성에 대해 “절대 없다”고 확신했다. 이번 사고의 후속조치로 3개월 간 사용 이력이 없는 불법 초소형 기지국(펨토셀) 4.3만대를 즉시 연동 해지 했다는 설명이다.

구재형 KT 네트워크기술본부장은 “확실한 것은 (펨토셀과 연동을 해지한) 9월5일 3시 이후 추가적인 피해는 없었다”고 밝혔다.

◆ 범행 수법 여전히 미궁 속…추가 해킹정황과의 연관성도 파악 못 해

이날 조사 경과도 공유됐지만, 새롭게 업데이트된 사실은 없었다.

KT 무단 소액결제 침해사고와 관련하여 과기정통부는 ▲해커의 불법 초소형 기지국이 어떻게 KT 내부망에 접속할 수 있었는지 ▲피해자의 통신을 어떻게 탈취했는지 ▲소액결제에 필요한 개인정보는 어떤 경로로 확보했는지를 중심으로 조사를 진행 중이라고 밝혔다.

범행 수법은 여전히 미궁 속이었다. KT가 복제폰 생성 가능성에 대해서 선을 긋고 있는 가운데, 해커가 어떻게 KT의 코어망에 접속할 수 있었는지와 ARS 인증 등을 통한 소액결제 범죄가 어떻게 가능했는지를 파악하기까진 시일이 소요될 것으로 전망됐다.

류 차관은 “개인정보 유출 경로나 경위에 대해서는 조사의 내용에 포함되어 있다”라며 “세컨드 폰 관련된 부분도 저희가 조사 내용에 대해서는 아직 구체적으로 확인해 드리기 어려운 점 양해 바란다”고 밝혔다.

이번 침해사고와 KT가 KISA에 새롭게 신고한 침해 정황과의 연관성도 아직 파악되지 못했다. 앞서 KT는 전날(18일) 오후 11시57분 서버 침해 흔적 4건과 의심 정황 2건을 신고했다.

류 차관은 “KT는 5월부터 9월까지 외부 전문 보안업체 용역을 통해 점검을 실시했다. 지난 4월 발생한 SK텔레콤의 침해사고 발생 직후 자사 통신망의 안전성 여부를 파악하기 위함”이라며 “그 내용을 자체 검토하고 분석한 결과 전날(18일) 밤 침해사고가 있었다는 사실을 신고하게 됐다고 KT는 밝혔다. 조사단도 이 내용을 포함하여 면밀하게 들여다볼 생각이다”라고 말했다.

구재형 네트워크기술본부장은 “서버 점검은 CISO 쪽 별도의 과제로 (지난 5월부터) 4개월 동안 진행되고 있던 과제였다”라며 “소액결제 침해사고를 담당하는 네트워크 쪽과는 상호 간에 연결성이 없다 보니 전날 밤 그 내용을 알게 됐다”고 밝혔다.

◆ 침해사실 없다던 KT…정부, 늑장신고 엄중 대응한다

이처럼 이동통신사를 중심으로 해킹에 의한 고객 정보 유출이 잇따르고 있는 가운데 정부는 해킹 정황에 대한 늑장신고에 대해 엄중 대응하겠다는 방침이다.

이번 사고와의 직접적인 연관성은 밝혀지지 않았으나, KT 역시 자사를 두고 제기된 해킹 의혹에 대해 KISA에 '침해 사실이 없다'고 밝힌 바 있다. 더욱이 이번 소액결제 사고의 최초 발생은 해당 사건이 대중에 알려진 시점보다 한 달이나 앞섰던 것으로 알려졌다.

이에 정부는 기업이 침해 사실을 지연신고하거나 미신고하는 경우에 대한 과태료 등의 처분을 강화한다. 또 정부가 정황을 확보하는 경우 기업 신고 없이도 조사할 수 있도록 제도를 개선한다는 계획이다. 정부부처 간 공동 대응 방안도 추가적으로 마련 중인 것으로 알려졌다.

류 차관은 “정부는 국가안보실을 중심으로 과기정통부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있다”며 “과기정통부는 현행 보안 체계 전반을 원점에서 재검토해 임시방편적 사고 대응이 아닌 근본적 대책을 마련할 계획”이라고 강조했다.