21일 국회 과학기술정보방송통신위원회에서 열린 ICT(정보통신기술) 분야 산하기관 국정감사에서 (왼쪽부터)홍범식 LGU+ 대표이사, 유영상 SKT 대표이사, 김영섭 KT 대표이사가 일어서서 과방위 소속 의원들의 질의를 듣고 있다. 연합뉴스
21일 국회 과학기술정보방송통신위원회에서 열린 ICT(정보통신기술) 분야 산하기관 국정감사에서 (왼쪽부터)홍범식 LGU+ 대표이사, 유영상 SKT 대표이사, 김영섭 KT 대표이사가 일어서서 과방위 소속 의원들의 질의를 듣고 있다. 연합뉴스

국회 과학기술정보방송통신위원회(국방위)가 연 ICT(정보통신기술) 분야 산하기관 국정감사(국감)에 이동통신3사 대표가 나와 해킹사고에 대해 입을 열었다.

다만 가장 먼저 해킹사고를 알린 SK텔레콤(SKT)은 뭇매를 맞기 보다는 재평가를 받은 반면 KT와 LG유플러스(LGU+)는 집중 질타를 받아 희비가 다소 엇갈렸다.

21일 과방위 국감에 출석한 유영상 SKT 대표는 박정훈 국민의힘 의원의 "통신 3사가 다 털렸는데 제일 먼저 자진 신고해 제일 많이 두들겨 맞았다. 왜 빨리 신고했느냐"는 질문에 "법적으로 그렇게 해야 한다고 알고 있었다"고 답했다.

이어 박 의원이 "다른 회사들은 왜 안 했다고 생각하느냐"고 묻자 유 대표는 "내부 사정이라 잘 알 수는 없다"고 말했다.

박 의원은 "SKT가 먼저 신고하는 바람에 불이익은 혼자 다 당하고 마케팅 등에서 엄청나게 당했다"며 "KT에 대해서도 지금 위약금 면제 이야기를 얼마든지 할 수 있는 상황인데 SKT가 처음에 하다 보니 훨씬 매를 많이 맞은 느낌"이라고 강조했다.

이어 박 의원은 최근 사이버 침해 사고가 드러나기 시작한 LG유플러스의 홍범식 대표를 증인석으로 불러 해킹 통보가 7월에 있었는데 왜 사실을 가장 늦게 파악했는지에 대해 질의했다.

홍 대표는 "아직도 침해 사실 확인은 되지 않은 상황으로 알고 있다"고 대답했다.

이에 이해민 조국혁신당 의원은 "해커들이 요즘 로그 기록을 남기면서 해킹하지 않는 상황에서 (정보가) 어떻게 나갔는지를 모르는 것인데 교묘하게 말을 섞어서 국회 상임위장을 무시하는 처사"라고 지적했다.

무단 소액결제 사건으로 이용자들의 금전적 피해가 실제로 발생한 KT의 김영섭 대표에 대해서도 날 선 비판이 쏟아졌다.

최민희 과방위원장은 "KT 영업점에서 SKT 해킹 사태와 위약금 면제를 이용해 마케팅에 나선 사례가 이달 초까지 발견된다"며 질책했다.

한민수 더불어민주당 의원은 "김 대표를 비롯해 KT 관계자들을 지난번 국회에 불렀을 땐 '괜한 지적을 하는 것 아닌가'하는 생각도 들었다. 하지만 지난 17일 KT에서 발표한 피해 발표 결과를 보면서 어떻게든 축소하려고 하고 무능한 KT를 지적할 수밖에 없다"고 비난했다.

같은 당 황정아 의원은 김 대표에게 "사태가 수습되면 사퇴해야 한다"고 압박했다.

이어 황 의원이 피해 배상·보상안을 묻자 김 대표는 "피해를 본 고객에게는 적극적인 배상을 하고 전 고객을 대상으로는 보상안을 검토하겠다"고 말했다.

이밖에도 김 대표는 책임의 범위를 묻는 노종면 더불어민주당 의원 질의에 "사퇴를 포함한 책임을 지겠다"고 말했다.

이날 KT는 해킹 피해를 본 이용자들에 대한 위약금 면제에 나선다고 밝혔다.

김 대표는 무단 소액결제 및 해킹으로 인한 개인정보 유출 피해자에 대해 "위약금 면제 고지 등 관련 절차를 진행하겠다"고 말했다.

앞서 KT는 민관 합동 조사단의 조사 결과를 보고 위약금 면제 여부를 결정하겠다는 소극적인 입장을 취해왔는데, 이날 국감에서 위약금 면제 조치에 대해 보다 명확히 밝힌 것이다.

이에 박충권 국민의힘 의원 등이 "해킹 사태로 피해를 본 KT 이용자들이 수십만원대 위약금을 내면서까지 가입을 해지하고 있다"며 책임 있는 자세를 촉구했다.

다만 KT가 이날 밝힌 위약금 면제 대상은 소액결제나 불법 기지국 접속 피해자들로 한정된 것으로, 전체 이용자에 대한 위약금 면제는 조사 결과 이후 결정한다는 입장이다.

LGU+는 이날 국감에서 해킹 피해를 인정하지 않았다가 당국에 피해 사실을 신고하겠다고 입장을 바꿨다.

홍범식 LGU+ 대표는 이해민 조국혁신당 의원이 한국인터넷진흥원(KISA)에 신고하겠느냐고 묻자 "그렇게 하겠다"고 대답했다.

그러면서 "사이버 침해 사실을 확인한 이후에 신고하는 것으로 이해하고 있었는데 여러 혼란과 오해가 발생하고 있어 조금 더 적극적으로 검토할 예정"이라고 부연했다.

LGU+는 현재까지 조사에서는 침해 사실이 발견되지 않았지만 국민 염려와 오해를 해소하는 차원에서 관련 부처와 협의해 추가 절차를 밟도록 하겠다는 입장이다.

이 의원은 "LGU+가 비밀번호를 암호화하지 않고 소스코드 안에 그대로 노출했다는 것은 금고 바깥에 비밀번호를 써서 쪽지로 붙여 놓은 꼴"이라며 "기술적인 문제 이전에 심각한 보안 불감증"이라고 비판했다.

이 의원이 입수한 자료에 따르면 LGU+가 자체적으로 계정 권한 관리 시스템을 분석한 결과, 모바일로 시스템에 접속 시 2차 인증 단계에서 숫자 '111111'을 입력하고 특정 메모리 값을 변조하면 시스템에 접근할 수 있는 등 모두 8개의 보안 취약점이 드러났다.

특히 웹페이지에는 별도 인증 없이 관리자 페이지에 접근할 수 있는 백도어가 있었고 소스코드에는 백도어에 접속할 수 있는 비밀번호 3자리, 계정 관리에 필요한 비밀번호가 암호화되지 안은 채 평문으로 노출돼 있었다.

이 의원은 "LGU+가 서버 운영체계(OS)를 재설치하고 이미지를 뜬 것을 제출했는데 (재설치 전) 상황 그대로가 이미지에 담겼다고 어떻게 보장을 할 수 있는지가 문제"라며 "이 과정에서 보안사고 매뉴얼대로 했는지 조사가 꼭 필요하다"고 지적했다.

최민희 과방위원장도 "LGU+가 지난 달 보안 용역을 의뢰해 해킹 의혹을 해명하겠다고 보고했다"며 "KT 서버 폐기로 조사에 난항을 겪는 것을 뻔히 알면서 남몰래 해킹서버를 폐기하고 보안 용역 의뢰를 보고한 것은 정부와 국회를 기만한 것"이라고 비난했다.

한편 이날 과방위 국감에서는 국가 보안을 담당하고 있는 과학기술정보통신부에 대한 비판도 이어지면서 잇따른 해킹사태에 대한 정부의 선제적 대응 등이 촉구됐다.

이훈기 더불어민주당 의원은 "무수히 많은 해킹 사고가 일어났는데 과학기술정보통신부는 도대체 뭘 하고 있느냐"며 "국민이 볼 때는 정부의 개인정보 보호 관리체계가 거의 무용지물이라고 생각할 수밖에 없는 상황"이라고 질타했다.

특히 SKT와 KT가 해킹 사고를 인지하고도 뒤늦게 신고한 점을 거론하며 "신고를 24시간 이내에 안 하면 과태료를 물게 돼 있는데 수십조 매출의 통신사에 몇백만원 과태료는 아무 의미가 없는 것 같다. 솜방망이 처벌"이라고 지적했다.

김장겸 국민의힘 의원은 "SKT 해킹 사태 때도 KT, LGU+를 살펴보라고 그렇게 강조했는데 또 터지고 터졌다"며 정부의 대응책을 두고 "수박 겉핥기식 개선에 불과하다"고 비판했다.

[스트레이트뉴스 함영원 기자] 

저작권자 © 스트레이트뉴스 무단전재 및 재배포 금지