김영섭 KT 대표 "펨토셀 회수·관리 부실 인정"

[프라임경제] 김영섭 KT(030200) 대표가 24일 무단 소액결제 사태의 원인으로 지목되는 초소형 기지국(펨토셀) 관리 부실을 인정하고 사과했다.

김영섭 KT 대표이사가 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고에 대한 청문회에서 위원 질의에 답하고 있다. ⓒ 연합뉴스

김 대표는 이날 국회 과학기술정보방송통신위원회(과방위)에서 열린 대규모 해킹사고 관련 청문회에 출석해 "소액결제 사고로 고객뿐 아니라 전국민께 불안과 심려를 끼쳐 진심으로 죄송하다"며 "펨토셀(초소형 기지국) 관리가 부실했다는 점을 인정한다"고 말했다.

이어 "사고 이후에는 모든 펨토셀이 망에 접속하지 못하도록 차단 조치했다"고 덧붙였다.

이에 이상휘 국민의힘 의원은 "(이번 소액결제 침해 사태의) 근본적인 문제 원인이 펨토셀"이라며 "이 관리 부실이 이번 사건을 초래했다"고 지적했다.

KT가 보유한 펨토셀은 23만2000대로 SK텔레콤(7000대), LG유플러스(2만8000대)에 비해 압도적으로 많다. 그중 최근 3개월간 작동하지 않았거나 고장난 펨토셀은 4만3000대다. 

참고인으로 출석한 이종현 SK텔레콤(017670) 정보보호최고책임자(CISO)는 "SK텔레콤은 3개월간 사용되지 않는 펨토셀은 주기적으로 삭제해 망에 붙지 못하도록 처리를 하고 있다"고 했다.

반면 김 대표는 "펨토셀의 유효 인증기간이 10년으로 설정돼 있다"고 밝혔다.

이 의원은 "애초에 장비를 폐기할 때 회수했어야 한다"며 "결국 회수하지 않았기 때문에 불법적으로 활용된 것"이라고 비판했다. 이에 김 대표는 "맞다"고 수긍했다.

특히 과방위 위원들은 이미 2012년 한국인터넷진흥원(KISA) 연구용역 보고서에서 펨토셀 보안 취약점이 지적됐음에도 대책이 미흡했다고 지적했다.

당시 연구보고서는 펨토셀 보안 위협으로 총 29가지를 제시했다. 그중에 KT 무단 소액결제 사태에서 나타난 사용자의 인증 토큰 복제가 포함돼 있다. 

또 통신을 주고받는 두 주체 사이에 공격자가 몰래 개입해 정보를 가로채거나 조작하는 MITM(Man-In-The-Middle) 공격 가능성도 포함돼 있다. 이 역시 KT 무단소액 결제 사태에서 나타난 방식이다.

황정아 더불어민주당 의원은 KT가 ARS 인증만을 토대로 피해 규모를 조사하고 있다고 지적했다. 

이와 관련 김 대표는 "분석에 시간이 걸려 일단 ARS 기반으로 분석한 것이고 문자 메시지(SMS) 등 전체 인증에 관한 데이터를 분석하고 있다"고 했다.

황 의원이 김 대표에게 "무단 소액결제 사태를 책임진 후 (대표 자리에서) 내려오겠냐"고 묻자 "그런 말씀을 지금 드리기 부적절하고 우선 사태 해결에 최선을 다해야 한다"고 답변했다.

황 의원은 "(KT의 행태는) 사태 축소 은폐의 전형"이라며 "말장난도 한 두 번이어야 국민이 속는 척이라도 할 것"이라고 꼬집었다.

김 대표는 사건 축소·은폐 의혹에 대해 "(사건 초기에는) 침해가 아니고 스미싱 현상으로 파악하고 있었다"며 "그런(은폐) 생각은 안 했다"고 일축했다.

이날 과학기술정보통신부(이하 과기정통부)는 복제폰 가능성도 조사하겠다고 밝혔다. 앞서 지난 18일 KT는 인증키값이 안전하게 보호되고 있어 복제폰 우려가 없다고 발표한 바 있다.

박정훈 국민의힘 의원이 류제명 과기정통부 2차관에게 "KT가 인증키 등 복제폰 생성을 위한 주요 개인정보가 해킹으로 유출되지 않았다고 주장하지만 위험성이 있지 않으냐"고 묻자 "그런 부분까지 면밀히 보겠다"고 답했다.

그러면서 "일단 인증키는 유출되지 않은 것으로 KT가 신고했는데 (민관 합동 조사단) 조사를 하면서 KT 말에 의존하지 않고 철저히 보겠다"고 강조했다.

또한 류 차관은 "KT 서버 폐기나 신고 지연 등에 고의성이 있는지 파악하는 대로 필요하면 경찰 수사 의뢰 등 강력히 조치하겠다"고 했다.