이상휘 의원 “13년 전 경고를 흘려들어”
김장겸 의원 “무차별적 침해, 대책 필요”

지난 19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과기정통부 류제명 제2차관이 발표를 하고 있다. 왼쪽은 금융위원회와 롯데카드, 오른쪽은 과기정통부와 KT 관계자. 연합뉴스

KT 무단 소액 결제 사태와 관련 KT의 관리 부실에 대한 비판이 이어지고 있다. 초소형 기지국(펨토셀) 장비 관리가 부실했고 가입자 신고에 대한 대응도 늦었다는 비판이다.

국회 과학기술정보방송통신위원회 소속 국민의힘 이상휘 의원은 펨토셀 장비에 대해 개발 당시부터 보안 위험이 있었다고 23일 지적했다. 이 의원에 따르면 한국인터넷진흥원(KISA)은 2012년 수행한 ‘펨토셀 및 GRX 보안 취약점에 대한 연구’에서 펨토셀이 가질 수 있는 보안 위협 29가지를 제시했다. 당시 SK텔레콤은 펨토셀 상용화에 착수했고 KT는 초고속 인터넷과 결합한 펨토셀 도입을 검토하고 있었다.

연구 보고서가 지목한 펨토셀 보안 위협 29가지에는 이번 KT 소액결제 피해의 원인으로 지목되는 사용자 인증 토큰 복제나 통신을 주고받는 두 주체 사이 공격자가 몰래 개입해 정보를 가로채거나 조작하는 중간자(MITM) 공격 가능성도 있었다.

이 의원은 “연구 성과가 보안 업데이트로 이어졌는지 성과 관리와 사후 활용 방안을 확인하려 했지만, KISA가 문서 보존기간 경과를 이유로 자료를 제출하지 않았다”며 보안 우려에도 당시 별도의 조치가 없었던 것으로 보인다고 지적했다. 그는 “13년 전 경고를 흘려들은 결과 소액 결제 해킹 참사의 나비효과로 돌아왔다”며 “형식적인 연구용역이나 보고서 작성에 그치지 말고 반드시 제도적, 실질적 대책으로 이어질 수 있도록 개선책을 마련해야 한다”고 촉구했다.

이번 무단 소액 결제 사태 피해가 가입 기간이나 세대를 가리지 않고 무작위로 광범위하게 발생했다는 지적도 나왔다. 과기정통위 소속 국민의힘 김장겸 의원실이 23일 KT로부터 제출받은 자료에 따르면 소액 결제 피해자 362명 가운데 20년 이상 장기 가입자도 10명 포함된 것으로 집계됐다. 연도별로는 1999년 가입자 3명, 2000년 2명, 2002년 1명, 2004년 4명 등이다. 가장 최근 피해자는 올해 7월 7일 KT에 신규 가입한 고객으로 확인됐다. 현재까지 집계된 피해자 362명 중에는 KT 고객이 아닌 KT 망을 이용하는 알뜰폰 가입자도 59명 포함됐다.

김 의원은 “피해자 현황을 보면 특정 계층이나 연령이 아닌 무차별적 침해가 일어났음을 확인할 수 있다”며 “개인이 아무리 주의를 기울였더라도 막기 어려운 사태였던 만큼, KT에 근본적 책임이 있으며 손해배상은 물론이고 재발 방지를 위한 확실한 대책을 즉시 내놓아야 한다”고 말했다.

무단 소액 결제 사태가 터진 KT에서 지난달 말에도 고객센터에 관련 피해 신고가 접수됐다는 비판도 나왔다. 국회 과기정통위 소속 국민의힘 박정훈 의원실이 23일 KT로부터 제출받은 자료에 따르면 KT 고객센터에 소액 결제 관련 피해 신고가 지난달 27일 2건 등 이달 2일까지 총 6건이 접수된 것으로 나타났다. 그러나 KT는 지난 1∼2일 경찰로부터 소액 결제 피해 사례를 분석해 달라는 의뢰를 받은 뒤에야 이들 6건 민원에서 비정상적인 결제가 이뤄진 사실을 확인했다. 박 의원은 “KT와 같은 대형 통신사도 유사·중복되는 고객 신고를 파악하고 발 빠르게 대처하는 시스템이 필요하다”고 지적했다.

김종우 기자 kjongwoo@busan.com