김영섭 KT 대표이사가 24일 국회에서 열린 통신·금융 해킹 사고 청문회에서 초소형 기지국 운영 체계의 허점을 공식 시인했다. 김 대표는 "무단 결제 피해 발생 이후 초소형 기지국 운영 실태를 살펴보니 취약점이 다수 발견됐고, 장비 회수도 미흡했다"고 밝혔다.

이어 "사고 발생 후에는 KT 통신망에 관리되지 않은 초소형 기지국이 연결되지 않도록 차단 조치를 완료했다"고 설명했다. 초소형 기지국의 인증 유효기간에 대한 질의에는 "10년으로 설정되어 있다"고 답변해 경쟁사와의 관리 방식 차이를 드러냈다.

참고인으로 출석한 이종현 SK텔레콤 정보보호최고책임자는 "당사는 3개월간 사용되지 않는 초소형 기지국은 제거를 통해 망 연결을 차단하고 있다"고 대조적인 관리 방식을 소개했다. SKT는 1주일간 사용 패턴을 모니터링한 후 3개월간 신호가 없으면 망에서 완전히 제거하는 시스템을 운영 중이다.

국회 조사 결과, KT는 통신 3사 중 가장 많은 23만 2천대의 초소형 기지국을 보유하고 있으나 미사용 장비 자동 차단 기능이나 위치 변경 시 고유값 삭제 등의 기본 관리 체계를 갖추지 않은 것으로 확인됐다. 현재 4만 3천대가 3개월간 미접속 상태로 방치되어 있다.

이해민 조국혁신당 의원은 "KT가 초소형 기지국 관리 지침을 별도로 마련하지 않고 고객 연락에만 의존해 사실상 방치해왔다"며 "연락이 닿지 않으면 후속 조치가 전무한 상황"이라고 지적했다. 그는 "방치된 장비가 해커의 불법 도구로 악용될 가능성이 높다"고 우려를 표했다.

한편, 이번 해킹 사태의 원인으로 지목된 초소형 기지국의 보안 취약점은 이미 13년 전부터 예견된 문제였던 것으로 드러났다. 이상휘 국민의힘 의원에 따르면, 한국인터넷진흥원은 2012년 '초소형 기지국 및 GRX 보안 취약점 연구'에서 29가지 보안 위협을 제시한 바 있다. 이 중에는 이번 사고의 핵심 원인인 사용자 인증정보 복제와 중간자 공격 가능성도 포함되어 있었다.

그러나 당시 연구 결과가 실제 보안 대책으로 이어졌는지는 확인되지 않았다. 이 의원은 "13년 전 경고가 있었음에도 구체적 조치가 없었다"며 "후진적 사건이 발생했다"고 비판했다.

롯데카드도 이번 청문회에서 정보보호 투자 부족 문제를 지적받았다. 강민국 국민의힘 의원 자료에 따르면, 롯데카드의 올해 정보보호 예산 비중은 IT 예산의 9.0%로 2020년 14.2%에서 크게 감소했다. 조좌진 롯데카드 대표는 "고객 신용정보를 다루는 금융회사로서 정보 유출 자체가 중대한 실수"라며 "피해를 최소화하기 위해 전력을 다하겠다"고 사과했다.

이날 청문회는 올해 SK텔레콤 해킹, 롯데카드 개인정보 유출, KT 무단 소액결제 등 연이은 보안 사고로 국민 불안이 가중된 상황에서 개최됐다. 김영섭 대표는 거취 문제에 대해서는 "현재 그런 말씀을 드리기는 적절하지 않다"며 "사태 해결에 우선적으로 최선을 다하겠다"고 답변했다.