KT가 이달 초 소액결제 해킹 사고를 인지하고도 내부 보안 대응 등급을 사흘 동안 '정상' 수준인 5등급으로 유지하다 뒤늦게 최고 단계인 1등급으로 격상한 것으로 드러났다. 한국인터넷진흥원(KISA) 신고 시점보다도 1시간 이상 늦었으며, 자체 보안 매뉴얼에 따른 단계적 격상 절차도 지키지 않아 안이한 대응이라는 비판이 제기되고 있다.

30일 최수진 의원(국민의힘)이 'KT의 침해사고 대응·복구 매뉴얼'을 확인한 결과, KT는 이달 5일 해킹 사고를 인지하고 소액결제를 차단했음에도 사흘간 보안 대응 등급을 최하위 수준인 5등급(정상)으로 유지했다. 5등급은 침해가 없는 정상 상태에서만 발령되는 단계다.

KT의 내부 대응 매뉴얼에는 1등급(심각), 2등급(경계), 3등급(주의), 4등급(관심), 5등급(정상) 등 총 5단계의 보안 대응 체계가 명시돼 있다. 그러나 KT는 매뉴얼에 따른 단계적 격상 없이 8일 오후 8시 25분에야 최고 등급인 1등급(심각)으로 격상했다. 이는 해킹을 인지하고 소액결제를 차단한 5일보다 3일 늦은 시점이다.

KT는 1일 경찰로부터 소액결제 해킹 사실을 통보받았으며, 5일에는 비정상 트래픽을 발견해 소액결제와 신규 접속 기지국을 차단하는 등 초동 대응에 나섰다. 하지만 보안 대응 등급은 8일까지 최하위 단계에 머물렀다. 보안업계 관계자는 "1등급 격상 이전에 최소 2~3등급으로 올려야 했는데 '정상' 단계를 유지한 건 이해할 수 없는 일"이라고 지적했다.

내부 매뉴얼에는 1등급 격상을 먼저 한 뒤 24시간 이내 KISA에 신고하도록 규정돼 있다. 그러나 실제로는 KISA 신고 시점(8일 19시 16분)보다 1등급 격상(8일 20시 25분)이 1시간 이상 늦었다. 절차 순서마저 지켜지지 않은 셈이다.

또한 KT는 KISA에 제출한 신고서에서 침해사고 인지 시점을 '9월 8일 15시'로 기재했다. 이는 해킹을 인지하고 소액결제를 차단한 5일보다 3일가량 늦춘 시점이다. 신고서에는 "피해 사실 인지(8일) 전 이상 징후도 없었음"이라고 적시돼 있어 논란이 커지고 있다.

서버 침해사고 대응에서도 늑장 행태는 반복됐다. KT는 자사 서버 침해를 15일 오후 2시쯤 인지했지만, KISA에 이를 신고한 시점은 3일 뒤인 18일 오후 11시 57분이었다.

최수진 의원은 "KT가 경찰과 언론을 통해 해킹 침해 사건을 인지하고도 내부 매뉴얼에 따른 대응 조치가 늦어져 피해를 키웠다"고 비판하며 "자체 보안매뉴얼이 부실하게 운영된 부분이 있는지 국정감사 등을 통해 꼼꼼히 따지겠다"고 밝혔다.

[스트레이트뉴스 설인호 기자]