KT가 서버 침해 사실을 알고도 사흘 뒤에야 당국에 신고한 것으로 19일 확인됐다. 앞서 서버 해킹 사건을 겪은 SK텔레콤에 이어 KT 또한 ‘24시간 이내 신고 규정’을 어긴 것이다.

19일 국회 과학기술정보방송통신위원회 소속 최수진 국민의힘 의원이 확보한 KT의 한국인터넷진흥원(KISA) 침해사고 신고 내용에 따르면 KT는 서버 침해 인지 시점을 9월 15일 14시(오후 2시)로 명시했다. 현행 정보통신망법은 침해 사실을 처음 안 지 24시간 이내에 과학기술정보통신부나 KISA에 신고하도록 규정하고 있다. 하지만 정작 KT의 신고 접수는 18일 23시 57분 30초에 이뤄졌다. KT 관계자는 “15일 외부 보안전문 기업으로부터 받은 점검 결과 보고서에 ‘서버 침해 정황이 있다’고 나와 실제 보고서 내용이 맞는지 내부 검증 절차를 거쳐야 하다 보니 시간이 소요됐다”고 했다.

KT는 신고 접수 11시간 전인 18일 오후 3시쯤 서울 종로구 본사에서 무단 소액결제 사건 2차 브리핑을 진행했지만 이때도 서버 침해 사실을 공개하지 않았다. 소액결제 피해 대응과 서버 점검이 별도로 진행됐기 때문에 소액결제 대응 부서에서는 해당 내용을 인지하지 못했다는 게 KT 측의 해명이다. 구재형 KT 네트워크기술본부장은 “상호 연결성이 없다 보니 어제저녁에 해당 내용을 알게 됐다”며 “브리핑 전에 이 사실을 아는 상황은 아니었다”고 했다. 그러다 19일 오전 과기정통부·금융위원회 합동 브리핑을 앞두고 신고 사실을 알리는 긴급 설명 자료를 발표한 것이다.

앞서 가입자 유심(USIM) 정보 유출 사건을 겪은 SKT 또한 법정 시한을 넘겨 해킹 피해 신고를 했다. 최수진 의원실에 따르면, 이 회사는 4월 18일 18시 9분 사내 시스템에 이상을 처음 감지한 후 같은 날 23시 20분쯤 서버에 악성 코드가 설치된 사실을 파악했다. 하지만 SKT는 20일 오후 4시 46분이 돼서야 해킹 사실을 KISA에 알렸다.

이러한 일이 반복되자 정부는 제도적 개선책을 마련하기로 했다. 류제명 과기부 2차관은 이날 브리핑에서 “기업이 고의적으로 침해 사고 사실을 늦게 신고하거나 미신고할 경우 과태료 등 처분을 강화하겠다”고 했다. 또 정부가 해킹 정황을 확보하면 기업 신고 여부와 관계없이 조사에 나설 수 있게 제도를 손질할 계획이다.

금융당국도 롯데카드 해킹 사건을 계기로 고강도 대응을 예고했다. 권대영 금융위원회 부위원장은 “금융사 최고경영자(CEO) 책임 하에 전산시스템 및 정보보호 체계 전반을 긴급 점검하고 금융감독원·금융보안원 등을 통해 점검 결과를 면밀히 지도·감독해 나가겠다”고 했다. 이어 “보안 사고 발생 시 사회적 파장에 상응하는 엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 등 방안을 신속히 추진하겠다”며 “금융사가 상시적으로 보안 관리에 신경 쓸 수 있도록 최고보안책임자(CISO) 권한 강화, 소비자 공시 강화 등 대책을 강구하겠다”고 했다.

<박준석 기자>