김영섭 대표 연임 포기...국회, 매출액 3% 과징금 법안 발의
 |
| 황태선 KT 정보보안실장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 대응 현황과 향후 계획을 설명하고 있다. (사진=연합뉴스) |
[알파경제=이준현 기자] 지난 7월 SK텔레콤 해킹 사태로 국민 불안이 고조되던 시기, 황태선 KT 정보보안실장은 "KT는 체계적인 보안 활동으로 국내 최고 수준의 정보보호 태세를 유지하고 있다"고 자신했다.
그러나 불과 4개월 뒤인 6일, 정부 민관합동조사단은 KT가 이미 지난해 3월부터 7월까지 핵심 서버 43대의 악성코드 감염 사실을 파악하고도 1년 6개월 넘게 당국에 신고하지 않은 채 은폐했다고 밝혔다.
국가 기간 통신망 사업자가 경쟁사 위기를 마케팅 기회로 삼으면서 고객과 정부를 상대로 벌인 조직적 기만이 드러난 셈이다.
◇ KT, 2024년 3월부터 시작된 은폐…'백신으로 지운' BPF도어 흔적
정부 조사단에 따르면 참사는 지난해 3월에 시작됐다. 당시 KT 서버 43대가 BPF도어, 웹셸 등 고도화된 악성코드에 감염됐다.
BPF도어는 올해 초 SK텔레콤을 마비시킨 것과 동일한 유형의 악성코드다.
현행 정보통신망법은 침해사고 발생 시 24시간 내 신속히 신고하도록 규정하고 있다. 그러나 KT는 신고 대신 은폐를 택했다.
최우혁 과학기술정보통신부 네트워크정책실장은 6일 중간조사 결과 브리핑에서 "BPF도어 등 악성코드 감염 사실을 확인하고도 신고 없이 백신 프로그램으로만 대응했다"고 밝혔다. KT는 자체적으로 서버를 복구하고 악성코드를 삭제했다.
SK텔레콤 사태 이후 당국이 주요 통신사를 대상으로 전수조사를 실시했을 때도 KT의 감염 이력은 드러나지 않았다.
조사단이 이번에 은폐 정황을 포착한 것은 서버 포렌식 과정에서 백신 사용 흔적과 악성코드 삭제 흔적을 발견했기 때문이다.
최 실장은 "BPF도어 흔적이 모두 지워진 상태여서 SK텔레콤 해킹 이후 당국의 전수조사에서 나타나지 않았지만, 조사 중 백신을 돌린 흔적이 드러나 해킹을 파악할 수 있었다"고 설명했다.
더 심각한 문제는 KT의 대응이다. 조사단은 KT가 지난 8월 펨토셀 무단 소액결제 사태 이후 정부 조사를 조직적으로 방해한 혐의를 확인했다.
미국 보안 전문매체가 펨토셀 인증서 문제를 제기한 이후 KT는 서버 폐기 시점을 허위로 제출하고, 폐기 서버의 백업 로그 기록을 한 달 이상 은폐했다.
이는 실무자의 단순 실수가 아닌 고의성을 가진 명백한 증거 인멸 시도다라는게 중론이다. 정부는 KT를 형법상 '위계에 의한 공무집행방해' 혐의로 경찰에 수사 의뢰했다.
 |
| (사진=연합뉴스) |
◇ 황태선 CISO "KT는 안전"
황태선 CISO는 지난 7월 15일 서울 광화문에서 기자간담회를 열고 "보안은 기술의 문제가 아니라 기업 신뢰의 핵심 가치"라며 "5년간 1조원을 투자해 국내 최고 수준의 정보보호 체계를 글로벌 톱 수준으로 끌어올리겠다"고 했다.
당시 황 CISO는 "SK텔레콤 사고 이후 자체적 실태 점검과 정부 합동 점검을 한 결과 이상 징후나 특이사항 없이 보안 체계가 정상 작동하고 있음을 확인했다"고 강조했다.
그러나 이 발언은 지난해의 은폐가 완벽하게 성공했다고 믿었기에 가능했던 적극적 기만이었다.
황 CISO는 정보보안최고책임자(CISO)와 최고개인정보보호책임자(CPO)를 겸직하고 있다.
CISO의 임무는 사고 방지다. CPO의 임무는 사고 발생 시 신고 및 고지다. 지난해 3월 서버 43대가 감염됐을 때 황 CISO는 정보보안 책임자로서 임무에 실패했다.
그리고 그는 CPO로서 자신의 실패를 인정하고 외부에 신고해야 하는 입장에 처했다.
동일인이 이 두 상충되는 직책을 겸직하자 CISO로서의 실패를 감추기 위해 CPO로서의 의무를 저버리는 최악의 의사결정이 내려졌다.
CISO의 책임 문제뿐만 아니라 기술적 관리도 총체적 난국이었다.
조사단 조사 결과 KT에 납품되는 모든 펨토셀이 동일한 인증서를 사용하고 있었다. 인증서 유효기간도 10년으로 설정돼 있어 한 번 인증서를 탈취당하면 해커가 10년 동안 KT 내부망을 합법적으로 드나들 수 있는 프리패스를 제공한 셈이다.
다른 통신사나 해외 IP로도 KT 내부망 접근이 차단되지 않았고, 펨토셀 장비의 고유번호나 설치 지역 정보가 KT망에 등록된 정보인지조차 검증하지 않았다.
 |
| 김영섭 KT 대표이사가 24일 서울 여의도 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. (사진=연합뉴스) |
◇ 김영섭 대표 연임 포기…'매출액 3% 과징금' 법안 발의
김영섭 대표는 지난달 29일 국회 과학기술정보방송통신위원회 국정감사에서 "경영 전반의 총체적 책임을 지는 CEO로서 개인정보 유출 및 소액결제 피해 발생에 대한 합당한 책임을 지는 것이 마땅하다"고 밝혔다.
이어 4일 이사회에서 차기 대표이사 공개 모집에 참여하지 않겠다는 연임 포기 의사를 공식화했다. 그는 내년 3월 정기 주주총회까지 임기를 마친 뒤 물러날 예정이다.
김 대표의 사퇴 시점은 위계에 의한 공무집행방해라는 형사 고발 사안이 수면 위로 드러나며 더 이상 경영 유지가 불가능해진 시점과 정확히 일치한다.
김 대표의 사퇴 의사 표명이 수사 방해 정황이 공식화된 시점과 맞물리면서, 이는 보안 실패에 대한 단순한 도의적 책임을 넘어선 조치라는 해석을 낳고 있다.
KT 사태로 제도 개선도 추진된다. 국회 과학기술정보방송통신위원회 이주희 더불어민주당 의원은 10일 해킹이나 침해사고를 숨기거나 신고를 늦춘 사업자에게 매출액의 최대 3%까지 과징금을 부과하는 정보통신망법 개정안을 대표 발의했다.
개정안은 침해사고를 신고하지 않거나 지연한 경우, 조사 과정에서 자료를 제출하지 않거나 거짓으로 제출한 경우, 조사를 거부·방해하거나 자료보전 명령을 위반한 경우 등에 대해 대통령령으로 정하는 매출액의 3% 이하를 과징금으로 부과할 수 있도록 했다.
이 의원은 "KT 사례처럼 침해사고를 숨기거나 신고를 늦출 경우 피해가 기하급수적으로 확산된다"며 "국민의 정보보호를 위해 단순 과태료 수준을 넘어선 실질적 제재가 필요하다"고 말했다.
정부도 지난 10월 범부처 정보보호 종합대책을 통해 침해사고 은폐나 신고 지연에 대한 징벌적 과징금 도입과 조사권한 강화를 추진하고 있다.
과학기술정보통신부는 해킹 은폐 사실이 고객 위약금 면제 사유에 해당하는지를 법률 검토를 거쳐 발표할 계획이다.
알파경제 이준현 기자(wtcloud83@alphabiz.co.kr)
