KT 무단 소액결제 사건이 서버 침해 정황까지 드러나면서 사태 심각성이 한층 커지고 있다. 피해 범위와 개인정보 유출 규모가 계속 확대되는 가운데, 정부는 과학기술정보통신부와 금융위원회 합동 브리핑을 통해 범부처 차원의 강력한 대응책을 내놨다.

KT는 19일 합동 브리핑 직전 자사 서버에서 침해 흔적 4건과 의심 정황 2건을 발견해 전날 자정 무�렵 한국인터넷진흥원에 긴급 신고했다고 발표했다. 지난 4월 SK텔레콤 해킹 사건 이후 외부 보안업체에 의뢰해 약 4개월간 전사 서버를 점검한 결과 이같은 사실을 확인했다고 밝혔다.

구재형 KT 네트워크기술본부장은 "소액결제 사건은 네트워크와 마케팅 부서에서 담당하고 있고 서버 점검은 CISO 조직에서 별도로 진행해 부서간 연결성이 없었다"며 사내 의사소통 부족을 해명 사유로 제시했다.

KT는 소액결제 사태가 불거진 지난 4일부터 '개인정보 유출은 없다'고 주장했지만, 11일 기자회견에서 불법 기지국을 통해 5천561명의 가입자식별정보가 유출된 정황을 인정했다. 이후 전날에는 IMSI뿐 아니라 국제단말기식별번호와 휴대전화 번호까지 유출 사실을 추가 공개했다.

실제 결제가 이뤄진 피해자는 278명에서 362명으로, 피해 금액은 1억7천만원에서 2억4천만원으로 확대됐다. 불법 펨토셀에 노출된 것으로 확인된 고객은 2만명을 초과했다.

류제명 과기정통부 2차관은 "국가안보실을 중심으로 관계부처가 협력해 해킹 피해를 최소화하기 위해 총력을 기울이고 있다"고 밝혔다. 현행 보안 체계를 원점에서 재검토해 근본적 해결책을 마련하고, 기업이 침해 사실을 고의로 늦게 신고하거나 미신고할 경우 과태료 처분을 강화하겠다는 방침이다.

또한 정부가 해킹 정황을 파악하면 기업 신고 여부와 관계없이 조사에 착수할 수 있도록 제도를 개선하고, 기업의 보안 투자 확대를 유도할 방안도 마련하겠다고 발표했다.

금융위원회는 롯데카드 사태를 계기로 금융회사 전산시스템과 정보보호 체계를 긴급 점검하고, 금융감독원과 금융보안원을 통해 지도·감독을 강화하겠다고 했다. 재발 방지를 위해 징벌적 과징금 도입, 최고정보보호책임자 권한 강화, 소비자 대상 공시 확대 등 제도 개선도 추진한다는 계획이다.

권대영 금융위 부위원장은 "IT 기술 발전에 따라 해킹 기술과 수법이 빠르게 진화하는 반면 금융권의 대응은 이를 따라가지 못하는 측면이 있다"며 "보안투자를 불필요한 비용이나 부차적 업무로 여기는 안이한 자세가 있지 않았는지 냉정하게 돌아봐야 할 시점"이라고 지적했다.

양 부처는 기업 내 CISO 권한과 예산 통제권을 강화해야 한다는 점을 공통적으로 강조했다. 기업이 보안 분야에 예산 투자를 늘려야한다는 데에도 의견을 같이 했다.

그러나 연이은 대규모 정보 유출 사태 속에서 이날 브리핑은 구체적 실행 방안보다는 원칙적 선언에 그쳤다는 평가도 나온다. 해킹이 금융·비금융을 가리지 않고 전방위로 발생하는 상황에서, 과기정통부와 금융위로 나뉜 대응 체계의 한계라는 지적도 제기된다.