[뉴스웍스=박광하 기자] KT 무단 소액결제 해킹 사건으로 통신사의 보안 관리 실태가 도마에 올랐다.

경찰이 1일 소액결제 피해 발생을 통보했지만 KT는 "뚫릴 수가 없다"며 일축했다. 하지만 자체 조사 결과 추정 피해액이 1억7000만원에 달하는 것으로 확인됐다.

개인정보 유출과 관련한 KT의 해명도 번복됐다. KT는 11일 오전까지 "개인정보 유출 정황이 없다"고 주장했으나, 같은 날 오후 김영섭 KT 대표가 대국민 사과와 함께 5561명의 IMSI(가입자식별정보) 유출 정황을 인정했다.

초소형 기지국 관리 부실 문제도 도마에 올랐다. 정보통신기술(ICT) 업계는 KT의 초소형 기지국이 제대로 회수되지 않는 경우가 빈번하다고 지적한다. KT도 이들 장비가 이번 사건에 사용됐을 가능성이 있다고 보고 있다. KT가 운영하는 초소형 기지국은 15만개 이상으로 알려졌다. 관리 사각지대에 있는 장비들이 잠재적 해킹 도구로 전락할 위험성이 제기된다.

더 큰 문제는 통신 3사 모두 해킹 위험에 노출돼 있다는 점이다. 4월 SK텔레콤 고객 유심 정보 유출에 이어 KT 해킹까지 발생했고, 해킹 그룹이 LG유플러스 내부 서버를 해킹해 수만개의 계정 정보를 보유했다는 분석도 나왔다.

여기에 외교부 등 공공기관이 뚫렸다는 분석까지 나오면서 국가 전체 사이버 보안 체계에 대한 우려가 커지고 있다.

정보보호 업계는 근본적인 보안 인식 전환이 필요하다고 지적한다. 정보보호 업무 담당자뿐만 아니라 기관, 기업 내 모든 구성원이 취약점을 발견하고 해결하도록 장려하는 문화를 정착시켜야 한다는 것이다. "취약점 해결을 위한 예산이 부족하다", "보안 업데이트를 했다가 예상치 못한 장애가 생길 수 있다" 등의 핑계로 보안성 확보에 소극적인 분위기를 일소해야 한다는 게 이들의 주장이다.

정보보호 및 개인정보보호 관리체계 인증(ISMS-P) 취득에 안주하지 말고 상시적인 보안 관리 활동을 펼쳐야 한다는 지적도 있다. 기술적 보안책뿐 아니라 데이터와 시스템 접근, 취급자들의 보안 의식 개선이 필요하다는 것이다. 전문가들은 ISMS-P를 운전면허에 비유한다. 운전면허 취득으로 교통사교에서 자유롭게 되는 건 아니라는 이야기다. 운전자가 상시 방어운전을 해야 하듯이, 정보보호 활동도 그래야 한다는 말이다.

"뚫릴 수가 없다"던 KT의 보안 실패가 국가 사이버 보안 체계 전반을 점검하는 계기가 되길 바란다.