“KT 허위자료 제출 드러나”…과기정통부, 통신보안 제도 고삐

KT가 대규모 무단 소액결제 사고와 관련해 정부 조사를 조직적으로 방해한 정황이 드러나자, 과학기술정보통신부가 경찰에 수사를 의뢰하며 통신 산업 보안관리에 대한 제도 강화를 추진하고 있다. 13일 과기정통부가 국회에 제출한 자료에 따르면, KT는 소액결제 사고 조사 과정에서 허위자료 제출과 증거은닉 등 고의적으로 조사에 불응한 것으로 밝혀졌다. 통신·금융 산업의 근간이자 국민 생활과 밀접한 분야에서의 보안 위협이 현실화됨에 따라, 제도적 견고성이 시험대에 올랐다.

이번 사안에서 과기정통부는 민관합동조사단을 꾸려 KT의 무단 소액결제 사고를 조사했다. KT는 백업 로그 등 핵심 자료를 은폐한 채, 서버 폐기 일정과 관련해 허위로 답변을 제출했다. 일정상 8월 1일 서버를 폐기했다고 주장했으나, 실제로는 그 이후까지 폐기 작업이 이어졌다. 피해 신고 역시 실제 사고 발생 이후 한참이 지나서야 이뤄진 것으로 드러났다. 특히, 불법 초소형 기지국(펨토셀)이 공식 네트워크에 접속되는 관리 부실도 적발됐다.

이에 과기정통부와 경찰, 개인정보보호위원회가 KT의 초동 대응 및 사고 연루 장비 출처, 인증정보 유출 경로 등 광범위한 조사를 진행 중이다. 기술적으로 대규모 인증정보가 탈취된 정황, 관리 체계의 헛점 등이 복합적으로 작동했다는 점이 업계 관심을 끈다.

정부는 현행 정보보호관리체계(ISMS)의 실효성에 문제점을 지적하며 법·제도 보완에 나선다. 신규 법안으로 기업 신고 없이도 침해사고 직권 조사를 가능하게 하는 내용이 포함됐고, 현장 점검, 위원회 출입 조사 제도 등이 추진되고 있다. 대형 통신사를 중심으로 CISO(최고정보보호책임자)의 정기 이사회 보고 의무, 정보보호 공시 항목 세분화 등 기업 관리 의무가 대폭 강화된다. 의무 불이행 시 부과되는 과태료는 최대 5000만원으로 상향되고, 이행강제금 신설도 검토 중이다.

글로벌 ICT 통신사 해킹 사고가 빈발하면서, 미국과 유럽은 통신 인프라의 보안책임 확대와 강제적인 감독체계를 잇달아 도입 중이다. 전문가들은 한국의 경우도 신고 의무, 현장점검 등 실효적인 행정력 강화가 산업 생태계 신뢰도에 핵심이 될 것으로 내다본다.

아울러 민생 피해의 주요 통로로 지적받는 보이스피싱 근절 대책도 본격화된다. 과기정통부는 대포폰 근절을 위해 12월 안면인식 시스템을 도입하고, 불법 개통에 연루된 대리점·판매점에 대한 원스트라이크 아웃제 시행을 앞두고 있다. 스마트폰 제조사와 협력해 악성 앱 설치 자동 차단 기능도 확대할 계획이다.

산업계는 이번 사고를 계기 삼아 사업자 책임·보안 거버넌스 강화 흐름이 통신 산업 전반으로 확산될지 예의주시하고 있다. 기술 고도화에 따라 보안과 책임, 제도의 균형이 산업 지속성장 조건으로 부각되는 상황이다.