“KT, 무단 소액결제 사고 조사 방해”…정부, 허위자료 제출·증거 은닉에 수사의뢰

KT가 무단 소액결제 해킹 사고와 관련해 조사 방해 혐의로 정부의 경찰 수사를 받게 됐다. 과학기술정보통신부는 13일 국회 보고에서 KT가 허위자료 제출, 증거 은닉 등으로 고의적으로 조사단의 활동을 방해했다고 판단해 경찰에 수사를 의뢰했다고 밝혔다. 이에 따라 KT를 둘러싼 소액결제 사고 파문이 더욱 확산될 전망이다.

과기정통부에 따르면 이번 사안은 지난 7월 화이트해커의 제보로 시작됐다. KT는 해킹 관련 자료 제출 요청에 대해 서버를 8월 1일 폐기했다고 보고했으나, 실제론 13일까지 순차 폐기한 사실이 드러났다. 또한 폐기된 서버의 백업 로그 존재도 조사단에 뒤늦게 보고하는 등 핵심 데이터를 숨겼다는 의혹도 제기됐다. KT가 사고를 당국에 공식 신고한 시점도 9월 8일로, 사고 발생 후 한참 뒤였다.

업계에서는 KT의 초동 대응이 부실했고, 불법 초소형 기지국인 펨토셀이 공식 네트워크에 접속돼 있었던 만큼 관리 책임도 가볍지 않다는 분위기다. 현재 경찰과 개인정보보호위원회는 사고 대응 적정성, 장비 출처, 인증 정보 유출 경위 등을 면밀히 조사하고 있다.

정부는 이번 사태의 재발을 막기 위해 정보보호 제도 전반의 손질에 나선다. 먼저 기업이 해킹 등 침해 사고를 신고하지 않더라도 당국이 직권으로 사고 조사가 가능한 권한을 마련하는 법안을 추진한다. 또한 침해사고 조사심의위원회 설치를 통해 사업장 현장출입 조사권을 부여할 계획이다. ISMS(정보보호관리체계) 심사 시 현장 점검을 대폭 강화하고, 보안의무 위반에 대한 제재도 크게 높인다. 침해사고 미신고 등에 부과되는 과태료는 5,000만 원으로 상향하고, 이행강제금 부과도 신설한다. 정보보호 최고책임자(CISO)의 이사회 정기 보고와 정보보호 관련 공시 의무도 확대될 예정이다.

한편 정부는 최근 확산되고 있는 휴대폰 기반 보이스피싱의 차단에도 주력한다. 대포폰 차단 강화를 위해 12월부터 안면인식 시스템을 도입하고, 불법 개통을 방치한 대리점에 대해선 즉각 계약 해지하는 ‘원스트라이크 아웃제’를 시행한다. 스마트폰 제조사가 참여하는 악성 앱 자동 차단 기능도 연내 도입된다. 안전성이 검증되지 않은 펨토셀 장치는 즉시 폐기 조치가 이뤄졌다.

전문가들은 KT 해킹 사고를 계기로 전기통신 생태계 전반의 보안·신고 체계 재정비 논의가 본격화될 것이라고 진단했다. 앞으로 주요 정보보호 정책의 방향은 기업 책임 강화와 침해사고 신속 대응 능력 제고에 달려 있다는 평가가 많다. 정부 또한 “시장 신뢰 회복과 추가 피해 방지에 만전을 기하겠다”는 입장을 밝혔다.