재무통 김영섭 체제 ‘보안구멍’ 키웠나…‘KT 해킹 사태’ 부실 대응 책임론

[일요신문] 최근 KT 고객들의 무단 소액결제 침해 사태와 관련해 김영섭 KT 대표와 최고경영진을 향한 책임론이 뜨겁게 달아오르고 있다. 이번 사태는 지난 4월 SK텔레콤 대규모 유심(USIM) 정보 해킹 사태가 통신업계의 보안 부실에 경종을 울린 지 불과 수개월 만에 발생했다. KT 안팎에선 자사의 통신 보안 전반에 대한 김영섭 대표와 경영진의 관리 소홀과 전문성 부족을 지적하는 목소리가 잇따르고 있다. 사태를 은폐·축소하려 했다는 의혹에 대해서는 경영진이 적극 방어하고 있지만, ‘늑장 대응’ 비판은 피하지 못하고 있다.

정부와 국회, KT 가입 고객 등 각계에서 빗발친 사태 은폐·축소 의혹에 대해 김영섭 대표 등 경영진은 “그런 바 없다”며 강하게 부인하고 있다. 피해 발생 지역이나 규모 등을 KT가 수차례 번복 보고(신고)한 것과 관련해 김 대표는 지난 24일 국회 과방위 청문회에서 “축소 은폐로 생각할 수도 있겠다고 짐작은 된다”며 “업무 처리에서 분량이 많아 시간이 걸렸고, 확인되는 대로 알려드리다 보니 그렇게 된 것”이라고 말했다.

늑장 대응 비판에 대해서는 충분한 해명을 내놓지 못하고 있다. 경찰이 KT에 소액결제 피해를 최초로 알린 것은 지난 1일이지만 KT가 비정상적인 소액결제 차단에 나선 것은 지난 5일 새벽이다. KT는 지난 18일 밤 11시 57분 중앙서버 해킹 흔적을 발견해 한국인터넷진흥원(KISA)에 신고했다고 다음 날(19일) 밝혔는데, 내부적으로 서버 침해 정황을 인지한 것은 나흘 전인 지난 15일 오후 2시였던 것으로 확인돼 늑장 대응 의혹을 키웠다. 

관련 의혹이 사실로 인정될 경우 KT는 정부로부터 거액의 과징금이나 과태료를 부과 받을 수 있다는 전망이 나온다. SK텔레콤은 지난 4월 유심 해킹 사태를 처음 인지한 뒤 24시간이 지난 시점에 관련 기관에 신고한 것으로 알려져 있다. SK텔레콤은 해킹 신고와 통지 지연 등에 대한 징벌 성격으로 과태료 960만 원, 대규모 개인정보 유출과 안전 조치 미비 등에 대한 과징금 1347억 원을 부과 받았다. 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 정보통신서비스 책임자는 개인정보 유출이나 정보통신망 침해 사고 발생을 알게 된 때부터 24시간 이내에 과학기술정보통신부 장관 또는 KISA에 신고하도록 돼 있다.

KT 내부에서는 늑장 대응의 근본 원인으로 보안 분야에 대한 김영섭 대표의 이해도·전문성 부족을 꼬집는 목소리가 높다. 39년 동안 LG그룹 계열사에 몸담았던 김 대표는 LG 구조조정본부, LG CNS 경영관리본부, LG유플러스 경영관리실 등을 거쳤다. 주로 재무 관리 분야를 맡아 ‘재무통’으로 불렸다. 

내부에서는 김영섭 대표가 2023년 8월 KT 대표이사로 취임한 뒤 줄곧 실적 개선에 집중하는 사이 통신사로서 중요한 보안 부문 관리에 소홀해 이번 사태를 초래했다는 비판이 제기된다. KT새노조는 “부실한 초기 대응과 허위 보고로 국민의 피해와 불안이 더욱 확산되었다”며 “통신 분야 전문성이 부족한 낙하산 최고경영자(CEO) 문제가 적나라하게 드러났다. 김영섭 대표는 이에 대한 책임을 지고 스스로 거취를 결정하기 바란다”고 밝혔다.

이번 사태의 핵심 원인이자 해킹 경로인 ‘초소형 기지국(펨토셀)’ 방치 문제가 경영진의 보안 관리 부실 사례로 지적된다. KT가 2012년 처음 상용화한 펨토셀은 KISA와 국내 연구진 보고서를 통해 해킹 취약성 문제가 수차례 지적돼왔다. 지난 24일 국회 과방위 청문회에 출석한 KT와 SK텔레콤 측 설명에 따르면, 현재 SK텔레콤은 자회사를 통해 펨토셀을 설치·회수 관리하고 있는 반면, KT는 외주업체에 맡겨놓고 있다. SK텔레콤이 3개월 간격으로 사용되지 않은 펨토셀을 회수하고 있는 것과 달리, KT는 유효 인증 기간을 10년으로 길게 설정해 사실상 방치한 것으로 확인됐다. 김영섭 대표는 당시 청문회에서 “펨토셀 관리 실태를 보니 여러 가지 문제가 많았다. 펨토셀 회수 과정도 허술했다”며 “사고 이후 사용하지 않는 펨토셀은 망에 붙지 못하도록 조치했다”고 말했다. 

통신업계 한 전문가는 “펨토셀은 서비스 범위가 넓지 않은 초소형 기지국이어서 실무진이 일일이 문제를 발견하는 것은 쉽지 않기 때문에 고객센터에 신고가 들어오면 상태를 점검하는 방식으로 운영된다”면서 “다만 KT가 펨토셀을 가장 빨리 상용화한 통신사인 데다 여러 문제점을 사전에 인지하고 있었음에도 이를 계속 방치해 왔다는 것은 경영진의 문제”라고 지적했다.

KT 전·현직 임직원이 포함된 ‘K-Business 연구포럼’ 한영도 의장(전 상명대 교수)은 “CEO가 기업의 핵심 사업에 대한 전문성을 갖고, 산업의 특성을 정확히 이해하는 것이 중요하다”며 “김영섭 대표의 전문 영역이 재무 관리이다 보니 사고의 심각성에 대한 이해도가 떨어졌을 수 있다. CEO가 통신·보안 분야 전문가였다면 정기, 수시로 점검을 지시했을 것”이라고 진단했다.

김영섭 대표 체제의 KT는 지난 4월 SK텔레콤 유심 해킹 사태가 발생한 다음 달인 5월 사내 정보보안단을 ‘실급’으로 격상, CEO 직속으로 재편한 바 있다. 지난 7월 15일에는 ‘KT 고객 안전·안심 브리핑’을 열어 향후 5년간 정보보호 분야에 1조 원 이상을 투자하겠다는 계획을 밝히기도 했다.  하지만 KT의 올해 정보기술 부문 투자액(1조 9803억 원) 대비 정보보호 부문 투자액(1250억 원)은 6.3%에 불과해, 정보보호에 대한 사측 투자가 소홀하다는 지적이 나온다. 

KT는 최근 2년간 여러 통신 사고가 발생해 보안 관리가 부실하다는 지적이 줄곧 제기됐다. 2023년 11월 KT가 운영하는 LTE망에 장애가 발생해 서울지역 소방 차량의 동태관리시스템(신고자 위치를 소방차에 연결해 길 안내를 해주는 시스템)이 중단된 바 있다. 지난해 8월에는 서울과 충남 천안 등 일부 지역에서 유선전화 수신과 발신이 먹통이 되는 사고가 있었다. 그 다음 달(9월)에는 유선 인터넷망에서 일부 접속 장애가 발생했다. 이외에도 외부 해커 조직으로부터 서버를 해킹당했다는 의혹이 올해 수차례 제기됐다.

이런 상황을 면밀히 감시·감독해야 할 KT 이사회 역시 보안 분야에 정통한 인사가 없어 온전한 역할을 하지 못하고 있다는 비판도 제기된다. KT는 올해 반기보고서 기준 사내이사 2명과 사외이사 8명 등 총 10명으로 이사회가 구성돼 있다. 현재 KT가 이사회 구성원 중 ICT 전문가로 소개하고 있는 인물은 최양희 한림대 총장, 곽우영 전 현대자동차 차량IT개발센터장(부사장), 김성철 고려대 미디어학부 교수 등 3명으로, 이들 모두 전공이나 주력 분야가 보안 부문은 아니다. 최근 2년간 이사회에 보안 관련 주제가 안건으로 상정되는 일은 지난해 3월, 올해 2월, 두 번이 전부다. 지난 4월 SK텔레콤 유심 사태 이후에도 보안 관련 안건이 새로 상정된 바는 없다. 

한영도 의장은 “SK텔레콤 유심 해킹 사태 이후 이사회에서 해당 문제를 당연히 짚고 넘어갔어야 했다. 이사 면면을 보면 경영진에 보안과 관련해 문제를 제기할 인물이 보이지 않는다”며 “CEO나 이사들 모두 보안에 대해 잘 알지 못하니 실무진에서 ‘문제없다’고 보고해도 견제를 못하고, 그러려니 하고 넘길 수밖에 없었을 것”이라고 설명했다. 

김영섭 대표는 지난 24일 국회 청문회에서 “대표직에 연연하지 않고 이 사태를 책임진 후 내려오겠느냐”라는 황정아 더불어민주당 의원의 질문에 “지금 그런 말씀을 드리긴 부적절하다”며 “우선 사태 해결에 최선을 다해야 한다”고 말했다. 

박찬웅 기자 rooney@ilyo.co.kr