[뉴스웍스=박광하 기자] 과학기술정보통신부와 금융위원회가 19일 합동 브리핑에서 KT 무단 소액결제 침해사고와 롯데카드 정보유출 사건이 재발하지 않도록 현행 보안 체계를 전면 재검토하고 징벌적 과징금 도입 등 근본적 대책을 마련하겠다는 입장을 내놨다. 

류제명 과기부 2차관과 권대영 금융위 부위원장은 이날 정부서울청사에서 합동 브리핑을 열고 KT 무단 소액결제 침해사고와 롯데카드 정보유출 사고 조사 경과와 향후 대응 방향을 발표했다. 류 2차관은 "기업들이 고의로 침해사고 사실을 지연 신고하거나 미신고할 경우 과태료 등 처분을 강화하겠다"고 말했다. 금융위는 보안사고 발생시 사회적 파장에 상응하는 엄정한 결과책임을 지도록 징벌적 과징금 도입 등을 추진하기로 했다. 

 다음은 기자들과의 질의응답이다.

-KT에서 18일 밤 추가 침해사고를 신고했는데, 당일 브리핑 전 이를 인지하지 못했다는 게 납득되지 않는다. 왜 이런 과정이 생겼나.

"소액결제 건은 네트워크 부서와 마케팅 부서에서 진행하고 있었고, 서버 점검은 CISO 부서에서 별도 진행과제로 4개월간 진행되고 있는 과제였다. 상호간 연결성이 없어 저녁에 그 내용을 알게 됐다. 브리핑 전에 이 사실을 알고 있는 상황은 아니었다."

-KT 추가 침해사고는 어느 서버에 침투가 이뤄진 정황인가. SKT 해킹조직 고객 데이터 탈취 주장은 티맵 고객정보가 맞나.

"어느 서버인 부분은 KT로부터 관련 자료를 제출받고 세부 분석이 들어가야 하기 때문에 말씀드리기 어렵다. SKT 고객정보 탈취 주장과 관련해서는 SKT 쪽으로 가서 데이터 정합성을 확인했다. SKT 데이터는 아닌 것으로 확인됐고 티맵과 관련된 정보가 식별됐다. 티맵 측에 통보했고 아직 침해사고 신고는 접수되지 않았다."

-KT 소액결제 침해사고 관련 개인정보 유출 경로 등 용의자를 통해 추가 확인된 내용은 없나. 세컨드 폰을 만들었을 가능성을 염두에 두고 조사 중인가.

"개인정보 유출 경로나 경위에 대해서는 조사 내용에 포함돼 있다. 아직 확인된 바는 없다. 세컨드 폰 관련 부분도 조사 내용에 대해서는 구체적으로 확인해 드리기 어렵다."

-KT 소액결제 수단 중 상품권 외에 교통카드 등 피해 유형이 각각 얼마였나. 6월부터 ARS 인증을 거친 소액결제 건을 전수조사했는데 왜 6월부터인가.

"소액결제 관련해서는 ARS가 대부분이었다. 교통카드는 미세했는데 정확한 금액은 확인해서 다시 말씀드리겠다. 6월부터 분석한 것은 9월, 8월 역으로 계속 분석해 나갔다. 8월 일정 시점이 처음이었고 7월, 6월까지는 없어서 6월까지 1차 분석을 완료했다."

-KT는 브리핑 때마다 피해 규모가 늘어나는데 추가 피해가 늘어날 가능성이 있나. KT가 파악한 피해 발생 마지막 날짜는 언제인가.

"접근하는 방법에 따라서 대상이 정해지는 측면이 있다. 220만 고객과 2267만건 통화 기록을 분석했을 때 추가적으로 확인된 불법 ID는 없었다. 불법 ID나 불법 기지국 ID가 발견될 가능성은 없어 보인다. 9월 5일 3시 이후에는 확실히 없다. 마지막 날짜는 확인해서 정확한 시간을 말씀드리겠다."

-롯데카드에서 2017년 오라클 서버 보안 업데이트 패치를 놓쳐서 해킹당했다고 했는데 추가 보안 문제 가능성은 없나. ISMS-P를 획득한 이틀 후 유출 사고가 일어난 것에 대해 감독이 허술했던 건 아닌가.

"보안패치가 안 돼서 악성코드가 들어와 사고가 터진 건 맞다. 추가적인 여러 문제점은 조사 과정에서 상세히 점검하고 이후에 보완해 나가도록 롯데카드와 충분히 협의하겠다. ISMS-P는 정보보호관리체계를 인증하는 것으로 정보보호를 할 준비가 됐다는 의미다. 인증을 받았다고 해서 악성코드나 해킹에 완벽히 안심할 수 있는 인증은 아니다."

-롯데카드는 2014년에도 2000만건 이상 정보유출 사고가 있었는데 제대로 보완이 안 된 걸로 볼 수 있나. 조좌진 대표 국정감사 소환 가능성에 대한 입장은.

"2014년에 카드 3사 정보유출 사건이 있었고 롯데카드가 포함됐다. 이번에 또 롯데카드에서 발생했는데 그동안 보안에 소홀히 했거나 제도를 제대로 지키지 않았다면 감독원이 확인하고 있다. 정확하게 확인해보고 부족한 부분이 있으면 엄중하게 제재하겠다. 국회에서 조사하는 것은 국회의 역할이고 국민들이 필요로 하면 국회에서 판단할 사항이다."

-롯데카드가 보름 넘게 웹사이트에 '고객 유출은 확인되지 않았다'고 공지했는데 당국이 왜 조치하지 않았나.

"악성코드 감염을 확인하고 롯데카드가 무엇인지 확인하는 과정이 있었다. 9월 1일 금융위와 금감원에 보고하고 2일에 검사에 나갔다. 포렌식 과정에서 당초 신고했던 것보다 더 많은 200GB가 나왔고 정보 유출에 대해서는 어느 정도 정보를 갖고 있었다. 그런데 확인이 안 되고 분류가 안 돼 포렌식 기간이 있었다. 그 정보로만은 부정사용 가능성이 없다는 게 판단이었다."

-금융업과 통신이 DX 전환이 빠르게 진행됐는데 기업들이 투자할 때 우선순위가 보안에 없었던 게 아닌가. LG유플러스는 괜찮나.

"기업들의 투자가 적정한지에 대한 일정한 기준은 없지만 보안 상태 점검을 통해 미비점을 보완할 수 있는 정보보호투자를 적극 유도해 나가겠다. CISO의 책임과 권한이 의사결정 과정에서 중요한 포지션으로 관리되지 않거나 예산통제권 등에 대한 통제 체제가 전반적으로 갖춰져야 한다. LG유플러스에 대해서는 특정한 증거 없이 말씀드리기 어렵고 침해 정황은 확인되지 않았다."

-공동브리핑인데 따로 대책이 발표된 것 같다. 같이 준비하고 있는 대책은 없나. 선언적인 대책밖에 없는데 구체적으로 어떻게 준비하고 있나.

"국가안보실을 중심으로 해서 두 부처 외에도 국정원, 개인정보보호위원회 관련 부서들이 함께 논의하고 있다. 종합적인 정부 대책은 국가안보실 중심으로 한 관계부처 회의를 통해서 종합적인 대책 또는 분야별 대책들을 함께 강구하고 있다."