해킹 사고로 사회적 논란을 불러일으킨 KT가 결국 국정감사장에 출석하게 됐다. 국회 과학기술정보방송통신위원회는 24일 KT와 LG유플러스에 대한 청문회를 개최한다고 발표했다. 김영섭 KT 대표와 홍범식 LG유플러스 대표가 증인으로 참석할 예정이다. 앞서 유심 정보 유출로 청문회에 나선 유영상 SK텔레콤 대표에 이어 이동통신 3사 최고경영진 모두가 국정감사에 출석하는 전례없는 상황이 벌어졌다.

이번 사태를 계기로 정부와 국회는 기업이 자발적으로 신고하지 않으면 당국이 사실상 개입할 수 없던 기존 체계를 전면 재정비하기로 방침을 정했다. 최민희 과방위원장은 기업의 자발적 신고 회피를 차단하고 해킹사고에 신속 대처하기 위한 '침해사고 조사심의위원회 설치법'을 대표 발의했다. 현행법상 침해사고 흔적이 없다는 이유로 자진신고를 하지 않아 민관합동조사단 구성이 지연되는 문제점을 해결하려는 취지다.

KT는 최근 불법 초소형 기지국을 이용한 소액결제 피해 사건에서 5561명의 고객 IMSI 유출 가능성을 자체 점검을 통해 확인했다고 밝혔다. 이에 따라 피해 고객에게 알림 메시지를 전송하고 유심 교체를 안내했으며, 김영섭 대표는 언론 발표를 통해 "피해자들에게 100% 배상하겠다"고 약속했다.

LG유플러스도 또다른 쟁점이 되고 있다. 외부 서버 관리업체 '시큐어키'가 지난달 31일 KISA에 해킹 피해를 신고한 사실이 드러났기 때문이다. 이 과정에서 약 8938대 서버, 4만2000여개 계정, 167명의 직원 정보가 노출됐을 것으로 추산된다. 하지만 LG유플러스는 "내부망 침투 흔적은 발견되지 않았으며, 비밀번호는 모두 암호화돼 있다"며 유출 가능성을 부인하고 있다.

통신 인프라 관리 허점도 이번 청문회에서 집중 조명될 전망이다. 국회 자료에 의하면 통신 3사가 운영하는 펨토셀 중 약 33%가 작동하지 않는 것으로 조사됐다. KT는 전체 15만7000대 중 약 5만7000대가 신호 송출이 되지 않고 있으며, LG유플러스와 SK텔레콤도 유사한 수준의 미작동 장비가 확인됐다.

한편 KT 소액결제 해킹 사태가 언론에 알려지기 약 한 달 전인 지난 8월 초부터 시작됐던 것으로 밝혀져 KT의 늦은 대응이 도마에 올랐다. 황정아 더불어민주당 의원이 KT로부터 제출받은 자료에 따르면, 8월 5일부터 9월 3일까지 피해 고객 278명의 결제 건수는 총 527건에 달했다.

초기 한 자릿수에 머물던 피해 건수는 8월 21일과 26일에 각각 33건, 27일에는 106건으로 급증했다. 8월 21일을 기점으로 피해 규모가 확대된 점에서 해커들이 사전에 예행연습을 진행했을 가능성도 제기된다. KT는 9월 1일 수사기관으로부터 소액결제 피해 분석 요청을 받았으나 일반적인 스미싱일 가능성이 크다고 판단해 즉각 대응하지 않았다. 실제로 2일과 3일 사이에만 109건의 추가 피해가 발생했다.

황 의원은 "최소 8월 5일부터 이상 신호가 있었는데 KT의 축소·은폐 시도로 피해가 막대해졌다"며 "과학기술정보통신부가 즉각적인 전수조사를 통해 피해 상황을 국민들께 투명하게 보고하고 축소·은폐 행위를 발본색원해야 한다"고 주장했다.

시민단체들은 국회 청문회를 통해 통신사들의 사태 은폐 의혹과 늦은 대응 부분을 제대로 밝혀내야 한다고 요구하고 있다. 특히 ISMS 인증 관리·감독 강화와 통신사들에 대한 금융사 수준의 보안 의무 부여, 해킹 사고 발생 시 인증 취소 등의 실질적 제재 수단 도입이 필요하다고 강조하고 있다.

이번 KT 사태는 단순한 해킹 사고를 넘어 기업의 윤리적 책임, 정부의 관리 감독 부실, 그리고 사회 전반의 보안 인식 수준에 대한 근본적 질문을 던지는 사안이 되고 있다. 청문회를 통해 실질적인 제도 개선책이 마련될 수 있을지 주목된다.