김영섭 KT 대표 "펨토셀 관리 허점 인정"…과기정통부 "경찰 수사 의뢰"

[아이뉴스24 서효빈 기자] KT가 무단 소액결제 범행에 악용된 불법 초소형 기지국(펨토셀) 관리 허점을 인정하면서 비판이 거세지고 있다.

24일 국회 과학기술정보방송통신위원회(과방위)는 통신·금융사 해킹 사태 관련 청문회를 열고 SK텔레콤·KT·LG유플러스와 롯데카드를 상대로 관리 책임과 재발 방지 방안을 추궁했다.

증인으로 출석한 김영섭 KT 대표는 "소액결제 사고 이후 펨토셀 관리 체계를 점검해보니 허점이 많았다"며 "사고 이후 불법 펨토셀이 망에 접속하지 못하도록 조치했다"고 밝혔다. 이어 "회수 절차도 부실했다는 점을 인정한다"고 말했다.

KT는 약 20만 개의 펨토셀을 보유 중이며, 설치와 회수 업무를 외부 업체에 위탁해왔다. 펨토셀 인증 유효기간을 10년으로 설정해온 관리 방식은 SK텔레콤이 3개월간 미사용 장비를 자동 삭제하는 것과 대비된다.

이와 관련해 국민의힘 이상휘 의원이 "펨토셀 관리 부실이 이번 사고의 원인 아니냐"고 묻자 김 대표는 "인정한다"고 답했다. 그는 "해킹 기술은 고도화되는데 망 안정성 투자는 부족했다"며 고개를 숙였다.

피해 규모 축소·은폐 의혹도 제기됐다. 황정아 더불어민주당 의원은 KT가 ARS 인증만을 기준으로 피해를 집계한다며 소극적 대응을 지적했다. 김 대표는 "SMS 등 다른 인증 데이터를 포함한 전체 분석을 진행 중"이라며 확대 조사 방침을 밝혔다.

또한 황 의원은 "비정상 패턴을 처음 발견한 게 9월 4일인데, 한국인터넷진흥원(KISA)에 '이상징후가 없다'고 허위신고를 한 것이다. 또 피해자들이 278명이라고 밝혔는데, 갑자기 362명으로 껑충 뛰었으며 피해 지역도 계속 늘어났다. 이래놓고 은폐가 아니냐"고 질타했다.

그러자 김영섭 대표는 "그때까지는 개인정보 침해가 아니로 스미싱으로 파악하고 있었다"고 해명했다. 이에 황 의원은 "KT는 8월 1일, 6일, 13일 서버 폐기를 했는데, 모두 피해가 발생한 날과 겹친다"며 "명백한 증거 인멸"이라고 목소리를 높였다.

황 의원이 대표직 사퇴 의향을 묻자 김 대표는 "현재로서는 사태 해결이 우선"이라며 즉답을 피했다. 그는 "고객과 국민께 불안과 심려를 끼쳐 진심으로 죄송하다"고 말했다.

과학기술정보통신부는 복제폰 생성 가능성 등 추가 보안 위협을 정밀 점검하고, 신고 지연이나 은폐 정황이 드러날 경우 경찰 수사 의뢰 등 강경 대응에 나서겠다는 입장이다.