무단 소액결제 사건에 휘말린 KT에서 추가로 서버 침해 정황이 확인되면서 개인정보 유출 위험성이 더욱 커지고 있다. KT는 18일 오후 11시57분 한국인터넷진흥원(KISA)에 서버 침해 흔적 4건과 의심 정황 2건을 신고했다고 19일 발표했다.

이번 침해 정황은 지난 4월 SK텔레콤 해킹 사태 이후 KT가 외부 보안 전문업체에 의뢰해 약 4개월간(5~9월) 전사 서버를 대상으로 실시한 조사에서 발견됐다. 구체적으로는 윈도우 서버 침투 후 측면 이동 시도, Smominru 봇넷 감염, VBScript 기반 원격코드 실행과 민감정보 탈취, Metasploit을 통한 SMB 인증 시도 및 측면 이동 성공 등이 침해 흔적으로 확인됐다.

그러나 KT가 지난 15일 오후 2시에 침해 사실을 인지하고도 3일이 지난 18일 밤에야 당국에 신고한 것으로 밝혀져 '늑장 신고' 논란이 일고 있다. 현행법상 기업은 해킹 피해를 최초 확인한 시점에서 24시간 이내 신고해야 하지만, KT는 이 규정을 위반했다. 앞서 SK텔레콤도 지난 4월 유사한 늑장 신고 논란에 휘말린 바 있다.

더욱 문제가 되는 것은 KT가 전날(18일) 오후 무단 소액결제 관련 2차 브리핑을 진행하면서도 서버 해킹 사실을 공개하지 않았다는 점이다. 구재형 KT 네트워크기술본부장은 "소액결제 사건은 네트워크와 마케팅 부서가 담당했고, 서버 점검은 최고보안책임자(CISO) 조직이 별도로 진행해 상호 연결성이 없었다"며 "전날 저녁에야 내용을 알게 됐다"고 해명했다.

한편 소액결제 피해 규모도 계속 확대되고 있다. 피해자는 278명에서 362명으로, 피해 금액은 1억7000만원에서 2억4000만원으로 늘어났다. 불법 초소형 기지국에 노출된 이용자도 2만명을 넘어서며, 이들의 전화번호와 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 등 개인정보가 유출된 정황이 파악됐다.

정부는 최근 연이어 발생하는 해킹 사고에 대해 강력한 대응 방침을 내놨다. 류제명 과학기술정보통신부 2차관은 이날 합동 브리핑에서 "현행 보안 체계를 원점에서 재검토해 근본적 대책을 마련하겠다"며 "기업이 고의적으로 침해 사실을 지연 신고하거나 미신고할 경우 과태료 처분을 강화하고, 해킹 정황을 확보한 경우 기업 신고 없이도 정부가 조사할 수 있도록 제도를 개선하겠다"고 밝혔다.

금융위원회도 롯데카드 해킹 사태와 관련해 "조사 결과에 따라 위규사항 확인 시 일벌백계 차원에서 엄정 제재를 취하겠다"며 "보안사고 발생 시 사회적 파장에 상응하는 징벌적 과징금 도입을 신속히 추진하겠다"고 강조했다. 국회 과학기술정보방송통신위원회는 오는 24일 KT와 롯데카드 관계자들을 대상으로 청문회를 개최할 예정이다.