김영섭 KT 사장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 공동취재단

‘IT 강국’ 한국이 잇따른 해킹 사태에 휘청이고 있다. KT 무단결제 피해 지역은 당초 알려진 것보다 광범위한 것으로 나타나 피해 전모조차 불분명하다. 보안 인증을 받은 롯데카드가 대규모 해킹을 당하면서 정부 검증마저 믿을 수 없게 됐다. 전문가들은 보안 경시 풍조부터 조직문화까지 일대 혁신이 필요하다고 지적한다.

21일 업계에 따르면 KT·롯데카드의 소액 무단결제 및 해킹 사태는 세 가지 측면에서 ‘IT 강국 한국’의 허상을 적나라하게 보여준다.

첫째는 사태 규모·경위가 여전히 불명확하다는 점이다. 이날 KT가 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)에게 제출한 자료를 보면 피해 지역엔 서울 동작구·서초구, 경기 고양시 일산동구가 포함돼 있다. 현재 경찰 수사범위인 경기 광명·부천·과천, 서울 금천·영등포, 인천 부평 일대를 넘어선다.

KT 스스로도 피해 규모를 번복하고 있다. 소액결제 사태 뒤 첫 기자회견(지난 11일)에선 피해 고객 수와 피해 금액을 각각 278명, 1억7000만원이라고 밝혔으나 지난 18일에는 “362명이 2억4000만원 피해를 봤다”고 정정했다. 정보유출 규모도 “5561명 가입자식별번호(IMSI)가 유출됐다”고 했다가 “2만명 IMSI와 단말기식별번호(IMEI), 휴대폰 번호가 유출됐다”고 말을 바꿨다.

이마저도 최종 피해규모가 아닐 수 있다. 황 의원은 “(ARS 인증 뿐 아니라) 패스(PASS) 인증 등에 대한 해킹이 이뤄졌다는 정황도 있다”면서 “KT는 지금이라도 피해 전수조사에 나서야 한다”고 밝혔다. 아울러 이름과 생년월일 등 개인정보가 필요한 ARS 인증을 해커들이 어떻게 뚫었는지 역시 여전히 베일에 싸여있다.

정부 검증의 신뢰도 붕괴했다. 과기정통부는 지난 7월 3일 SK텔레콤 해킹에 관한 민관합동조사단 조사 결과 브리핑에서 “(KT·LG유플러스는) 문제가 없는 것으로 확인됐다”고 공언했다. 그러나 두 달 만에 KT 서버 해킹 사실이 드러났다. 지난 18일 KT 윈도 서버 침투 등 해킹 4건과 의심 행위 2건이 확인된 것이다. 다만 어떤 데이터 서버가 침해됐는지, 유출은 있었는지, 무단 소액결제 사건과 연관이 있는지 등은 아직 밝혀지지 않았다.

롯데카드가 한국인터넷진흥원(KISA) 보안 인증을 받은 사실은 정부 인증 실효성에도 의문을 키운다. 롯데카드는 지난달 12일 국내 최고 보안 관리체계 인증인 ‘ISMS-P’를 획득했다고 발표했는데, 불과 이틀 뒤부터 13일간 온라인 결제서버(WAS) 해킹이 이뤄졌다. 이 과정에서 297만명 정보 200GB(기가바이트)가 유출됐다. “(기업들이) 정부 인증을 받았다는 것으로 (허술한 보안을) ‘면피’하려는 면이 있는데 그 점을 해커들이 파고든 사례”(최대선 숭실대 소프트웨어 학과 교수)라는 평가가 나온다.

2차 피해 가능성도 있다. KT의 경우 IMSI, IMEI가 유출된 상황에서 서버 해킹 정황까지 나와 복제폰 피해 우려가 커지고 있다. 복제폰은 ISMI, IMEI, 유심 인증키가 있으면 만들 수 있다. 롯데카드에선 28만명의 카드 비밀번호와 보안코드(CVC)까지 유출돼 카드 부정사용 가능성이 있는 것으로 나타났다.

최근 해킹 사태는 편리성만 추구하며 IT 인프라 고도화에 집착해 온 한국사회에 돌아온 ‘부메랑’이다. IT 전문가인 류한석 기술문화연구소장는 “기업이나 정부나 문제가 어느 정도인지 아직까지도 모른다는 점이 한국의 보안 인식을 보여준다”면서 “결과물만 빨리빨리 내놓으려는 문화가 바뀌지 않는 한 근본적 해결은 어렵다. 기획·설계 단계부터 보안을 고려해 체계적으로 접근하려는 대전환이 필요하다”고 말했다.

본인인증 체계의 근본적인 재점검이 필요하다는 지적도 나온다. 보안전문가인 신동휘 서강대 겸임교수는 “통신사 기반 본인인증 이상행위 탐지를 위한 겹겹의 보안수단을 강구해야 하고, 이번 만큼은 수습기간이 길어져도 좋으니까 제대로 된 대책을 강구해 나가야 한다”고 말했다.