[포쓰저널=김지훈 기자] 불과 몇 달 전, SK텔레콤의 대규모 해킹 사태로 통신망 보안이에 대한 국민 불안이 최고조에 달했다. 그런데 반년 채 지나지 않은 지금, 이번에는 KT와 LG유플러스가 북한 해킹 조직의 공격에 노출됐다는 정황이 드러났다.

그러나 두 회사는 보안 강화 약속도, 피해 최소화 조치도 아닌 의혹 부인과 조사거부로 일관하고 있다. 국가 기간산업 기업인 통신사가 사실 규명보다 진실을 은폐하려는 듯한 행보를 보이는 것은 심각한 문제다.

4월 SKT 해킹 사태가 불거진 직후 정부는 KT와 LG유플러스의 보안 점검에 나섰지만, 당시에는 특이점이 발견되지 않았다. 그러나 지난달 미국 보안 전문지 프랙이 북한 해킹 조직 김수키의 공격 정황을 공개하면서 상황은 달라졌다.

KT는 SSL 인증서가 유출됐고, LG유플러스는 내부 서버 관리용 계정과 데이터베이스 소스 코드 등이 빠져나갔다는 의혹이 제기됐다. 실제로 서버 수천 대 정보와 직원·협력사 ID 등 민감한 자료가 외부로 빠져나간 정황까지 포착됐다.

그럼에도 두 회사는 "침해 정황을 발견할 수 없다"며 당국의 민관 합동 조사단 구성 및 정식 조사 착수에 응하지 않고 있다.

LG유플러스는 소스 코드 유출 사실을 인정하면서도 "정보 유출 여부를 점검한 결과 침해 사고 흔적이 없다"고 했고, KT는 "알 수 없는 경로에서 키 파일이 유출된 것으로 추정된다"고 해명했다. 내부 자료가 외부로 흘러나간 정황이 분명한 데도, 원인 규명에는 소극적인 태도를 보이고 있는 것이다.

국회 과학기술정보방송통신위원장인 최민희 의원(더불어민주당)은 “정부가 정식적으로 침해 사고 신고를 하고 당국의 조사를 받을 것을 요청했지만, 두 통신사가 거부해 당국이 내부 서버를 직접 들여다보는 작업이 막혀 있다”고 꼬집었다. 자발적 신고가 없으면 당국이 현장 조사에 착수하기 어렵다는 제도적 허점이 그대로 드러난 셈이다.

KT의 대응은 오히려 의혹을 키웠다. 한국인터넷진흥원(KISA)이 해킹 의혹을 통보한 지 열흘 만에 KT가 해당 서버를 폐기한 사실이 드러났다.

2개월 뒤에 폐기할 예정이던 원격상담시스템 구형 서버가 갑자기 교체된 배경을 두고, “피해 규모를 은폐하기 위한 증거 인멸 아니냐”는 의혹이 쏟아졌다.

KT는 “새 솔루션 성과가 좋아 조기 전환한 것”이라며 해명을 내놨지만, 조사에 난항을 겪게 됐다.

KT의 보안 리스크는 최근 경기도 광명시에서 벌어진 소액결제 피해 사건에서도 드러났다.

지난달 말부터 광명시 소하동 거주 KT 이용자 26명이 동시다발적으로 피해를 봤다. 새벽 시간대 피해자들의 휴대전화에서 모바일 상품권 구매, 교통카드 충전 등의 명목으로 수십만원씩 결제가 이뤄졌다. 지금까지 확인된 피해 규모는 62차례, 총 1769만원이다.

이 사건은 보안 사고가 대규모 유출로만 드러나는 게 아니라, 특정 지역에서 수십 명이 동시에 피해를 입는 방식으로도 현실화될 수 있음을 보여준다.

SKT의 태도 역시 무책임하기는 마찬가지다. 방송통신위원회 분쟁조정위원회가 해킹 피해 고객의 위약금을 연말까지 면제하라고 권고했지만, SKT는 향후 소송 리스크와 회사 영향을 이유로 거부했다.

피해 고객들은 개별 소송 외에는 권리 회복 방법이 없는 상태다. 시민단체 참여연대는 이를 두고 “국민을 상대로 끝장 소송전을 벌이겠다는 대국민 선전포고”라고 비판했다.

이쯤 되면 통신 3사의 문제는 단순한 보안 부실을 넘어선다. 국민 대다수가 특정 통신사와 장기 계약으로 묶여 있는 현실에서 해킹은 곧 개인정보 유출과 금융사기, 기업 보안 위기로 직결된다. 그럼에도 책임 있는 설명이나 선제적 조치 대신 ‘조사 거부’, ‘권고 불수용’으로 일관하는 통신사 행태는 용납되기 어렵다.

따라서 정부와 국회는 무엇보다 의무적 조사 제도화를 서둘러야 한다. 자진 신고 여부와 무관하게 당국이 침해 사고 의혹이 제기된 기업의 서버를 직접 조사할 수 있어야 한다.

주기적 모의 해킹 점검과 결과 공개를 강제하는 방안도 검토할 필요가 있다.

통신 서비스의 본질은 연결과 신뢰다. 통신 3사는 국가 기간산업이라는 지위를 누리면서도 최소한의 책임을 다하지 못하고 있다.

반복적 해킹 사고에 불구하고, 사후 수습에 머무르는 통신사들의 행태 속에서 피해는 고스란히 소비자에게 전가된다. 국가와 기업 모두 국민 안전을 중심에 둔 책임 있는 관리·감독 체계를 구축하는 것이 시급하다.