조좌진 롯데카드 대표 사퇴 시사…국회 과방위 질책에 "사태 처리가 마지막 책무"

[뉴스웍스=박광하 기자] 국회가 24일 KT·롯데카드 해킹 사태 긴급청문회를 열어 보안 관리 부실과 허위보고 의혹을 집중 추궁했다. 이에 대해 조좌진 롯데카드 대표는 사퇴를 시사하는 발언을 내놨다. 여야 의원들은 정부와 KT에 대해서도 십수년 전 펨토셀 위험성 경고를 무시했다면서 비판의 수위를 높였다.

국회 과학기술정보방송통신위원회는 이날 KT와 롯데카드 해킹 사건 청문회를 개최해 보안 관리 부실과 허위보고 의혹을 집중 추궁했다.

청문회에서 조좌진 롯데카드 대표는 "297만 고객의 카드번호, 비밀번호, 유효기간, 주민등록번호, CVC가 유출됐다"고 인정했다. 이정헌 의원이 "보안 시스템이라는 게 있기는 한 것이냐"고 추궁하자, 조 대표는 "탐지 시스템을 운영하고 있지만 주요 탐지하지 않는 곳에 교묘하게 악성코드를 설치해 정보를 탈취했다"고 해명했다.

조 대표는 "8월 26일 온라인 결제 서버 2대의 동기화가 안 되는 상황을 발견해 확인한 결과 악성코드 감염을 최초 확인했다"며 "만약 동기화 문제가 없었다면 지금까지도 발견 못했을 가능성이 있다"고 시인했다.

이정헌 의원은 "8월 12일 최초 악성코드가 침입됐고 26일 감염을 확인했으면 그때라도 금융 당국에 신고할 수 있어야 하는 것 아니냐"고 질타했다. 조 대표는 "전자금융법상 침해 행위와 침해 사고를 구분하고 있어 악성코드 감염 사실만으로는 신고할 수 없었다"고 해명했지만, 이 의원은 "법 체계의 문제가 심각하다"며 "미리 조치를 취했다면 추가 피해를 막을 수 있었다"고 지적했다.

그러면서 조좌진 대표는 이번 해킹 사태 처리를 "본인의 마지막 책무"라고 언급하며 사임을 시사했다.

최민희 과방위원장은 "롯데카드와 MBK파트너스는 정무위 소관이므로 오전 질의 후 별도 시간을 마련하겠다"며 "정무위에서 국감 중 이어갈 예정"이라고 밝혔다.

KT의 초소형 기지국(펨토셀) 관리 부실에 대한 지적도 집중 제기됐다.

박정훈 국민의힘 의원은 "13년 전 이미 펨토셀 위험성에 대한 용역 결과가 나왔는데 김영섭 대표가 이를 모르고 있었다"며 "거짓말을 의도적으로 했는지 모르지만 나중에 말이 뒤바뀐 게 한둘이냐"고 질타했다.

참고인으로 출석한 김승주 고려대 정보보안대학원 교수는 "2015년 7월 20일 KT와 미팅해 펨토셀 취약점을 알렸고 당시 조치하겠다는 답변을 받았다"고 증언했다. 박정훈 의원은 "나랏돈을 들여서 연구한 결과인데 그걸 무시하는 조직"이라며 "SK텔레콤과 LG유플러스는 장기간 안 쓰는 펨토셀을 차단하는 시스템이 있어 공격 대상이 안 됐는데 KT만 이를 방치했다"고 지적했다.

이어 박 의원이 "인증키 없으면 복제품 못 만든다고 했는데 KT가 해킹됐으면 리스크가 있는 것 아니냐"고 묻자, 류제명 과학기술정보통신부 제2차관은 "그런 부분까지 면밀히 보겠다"고 답변했다.

이주희 민주당 의원은 "SK텔레콤과 LG유플러스는 펨토셀이 코어망에 접속하기 전에 검증하는 시스템이 있는데, KT는 인증서 유효기간이 10년이어서 한 번 접속하면 그 뒤에는 위치 정보나 소프트웨어 확인 절차 없이 계속 망에 접속할 수 있었다"며 "18만개에 달하는 펨토셀을 관리하는 체제가 하나도 없었다"고 꼬집어 말했다.

이정헌 민주당 의원은 "KT가 9월 7일 불법 펨토셀 아이디를 확인했는데 9일 의원실 보고에서 이 사실을 의도적으로 누락했다"며 "제대로 국회에 보고하지 않았다"고 비판했다. 또 "2018년부터 올해까지 거의 해마다 KT 서버에서 침해 흔적이나 의심 정황이 발견됐는데 투명하게 공개하지 않고 있다"고 추궁했다.

김장겸 국민의힘 의원은 "SK텔레콤 해킹 사고 이후 LG유플러스나 KT 조심해야 한다며 보안 점검을 여러 차례 강조했는데 설마설마하다가 당했다"며 "AI 3대 강국을 노래할 때가 아닐 정도로 창피한 일"이라고 꾸짖었다.

이해민 조국혁신당 의원은 휴대전화 고유 정보인 단말식별번호(IMEI) 유출의 심각성을 강조했다. 이 의원은 "전 세계적으로 유일한 키 값인 기기의 아이디가 유출됐는데 이를 가볍게 생각하면 안 된다"며 "유출된 2만명의 기기변경을 지원할 것이냐"고 물었다. 하지만 김영섭 대표는 "조사 결과를 종합해서 (검토할 것)"이라며 즉답을 피했다.

그는 이어 "2014년부터 2015년까지 도입된 4만대의 펨토셀 중 현재 가장 오래된 장비는 2016년도라고 답변했는데 그러면 초기 도입 장비는 모두 회수됐느냐"고 물었다. 김영섭 대표는 "모두 회수되지는 않았다"며 "최근 5년간 3000대 장비를 분실했다"고 인정했다.