서울에 있는 어느 KT 대리점

KT는 24일 무단 소액결제 범행에 사용된 것으로 추정되는 초소형 기지국(펨토셀) 관리가 부실했다고 인정했다. 또한 ARS 인증 뿐만 아니라 문자 메시지(SMS) 등 모든 소액 결제 인증 방식을 대상으로 피해 범위를 확대해 파악하는 중이라고 했다.

김영섭 KT대표는 24일 국회 과학기술정보방송통신위원회에서 열린 KT·롯데카드 해킹 사태 청문회에 증인으로 출석해 "소액결제와 관련해 여러 예기치 못한 사고를 일으켜 고객은 물론 국민께 불안과 걱정을 끼쳐드린 점 진심으로 사과드린다"라며 머리 숙였다.

김 대표는 "소액결제 사고 뒤 펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다. 사고 이후(불법 펨토셀이) 망에 붙지 못하게 조치했다"고 밝혔다.

펨토셀의 설치·관리를 외주업체에 맡기고 있는 KT. 김 대표는 "펨토셀 설치·관리를 외주업체가 맡는 등 관리 부실이 사건을 초래한 원인"이라는 이상휘 의원(국민의힘)의 지적에 잘못을 인정했다.

"KT가 ARS 인증만을 토대로 피해 규모를 소극적으로 조사하고 있다"고 황정아 의원(더불어민주당)이 지적하자 김 대표는 "분석에 시간이 걸려 우선 ARS 기반으로 분석한 것이고 문자 메시지(SMS) 등 전체 소액결제 인증에 관한 데이터를 분석하고 있다"며 피해 규모 파악 범위를 확대하고 있다고전했다.

 박정훈 의원(국민의힘)은 "KT가 인증키 등 복제폰 생성을 위한 주요 개인정보가 해킹으로 유출되지 않았다고 주장하지만 위험성이 있지 않느냐"고 질의했다.

류제영 과학기술정보통신부 2차관은 "일단 인증키는 유출되지 않은 것으로 KT가 신고했는데 (민관 합동 조사단) 조사를 하면서 철저히 살펴보겠다"고 답했다. 또한 "서버 폐기나 신고 지연 등에 고의성이 있는지 파악하고 필요시 경찰 수사 의뢰 등 강력히 조치하겠다"고 했다.

KT가 소액결제 범행에 이용된 불법 초소형 기지국(펨토셀)을 부실하게 관리해왔다는 지적도 잇따라 나왔다. 

최수진 의원(국민의힘)이 이동통신 3사로부터 받은 자료에 따르면 신호가 잡히지 않는 펨토셀의 80%가 KT에서 발생했다. KT의 경우 총 15만7천여대의 펨토셀 중 5만7천대가 불량으로 신호가 잡히지 않았다. 신호가 잡히지 않는 펨토셀은 불법 해킹에 이용될 수 있어 보안 사각지대에 속한다.

SKT와  LG유플러스는 펨토셀이 장기간 미사용 상태에 있거나 일정 거리 이상 이동하게 되면 자동으로 해당 기기를 차단하고 일정 기간 후 장비 고윳값을 삭제하고 있다. KT는 통신 3사 중 펨토셀을 가장 많이 보급했지만 미사용 장비 자동 차단, 위치 급변 시 고윳값 등록 삭제 등 기본적인 관리 체계가 없었다.

이해민 의원(조국혁신당)은 "KT는 고객 연락에만 의존해 펨토셀 회수를 진행하고 있다. 문제는 고객과 연락이 닿지 않는 경우 후속 조치를 전혀 하지 않는다는 점이다. 방치된 펨토셀이 해커의 불법 장비로 악용됐을 가능성이 높다"고 지적했다.

그는 "KT가 기간 통신사업자로서 기본적인 자질을 갖추고 있는지, 위기 관리 센터를 포함한 국가 주요 통신 인프라 사업을 수행하는 게 맞는지 의심스럽다"며 망 관리 부실 검증과 함께 인적 쇄신 등을 주문했다.

앞서 KT는 지난 11일 불법 소액결제 피해규모를 278명에 1억7천여만원으로 발표했다가 일주일만인 18일 362명에 2억4천여만원으로 정정했다. 사건 초기에 알려진 경기 광명시와 서울 금천구 등 외에 서울 서초구와 동작구, 고양시 일산동구 등에서도 피해가 발생한 사실이 뒤늦게 알려지며 피해 규모가  확대됐다.