[서울=뉴스핌] 이성화 기자 = KT는 24일 불법 초소형 기지국(펨토셀)을 통한 무단 소액결제 피해 사태와 관련해 펨토셀 관리가 부족했고 서버 폐기 등 전반적인 대응 과정이 부실했다고 인정하며 사과했다.

아울러 이번 사태로 정보 유출 피해를 본 고객 2만30명의 위약금 면제를 적극 검토하고 있으며 전수조사 대상과 기간을 확대해 소액결제 피해 규모를 점검하겠다고 밝혔다.

국회 과학기술정보방송통신위원회(과방위)는 이날 서울 여의도 국회에서 '대규모 해킹 사고 및 소비자 피해 관련 청문회'를 열고 김영섭 KT 대표이사, 서창석 KT 네트워크부문장, 황태선 KT 정보보안실장(CISO) 등을 증인으로 소환했다.

김영섭 대표는 먼저 KT 무단 소액결제 피해 사태와 관련해 "고객뿐만 아니라 전 국민들을 불안케 하고 걱정과 심려를 끼쳐 정말 죄송하다"고 말했다.

그는 '펨토셀 관리를 어떻게 하고 있느냐'는 이상휘 국민의힘 의원의 질의에 "펨토셀 문제가 터진 이후 관리 실태를 보니까 여러 허점이 많았다"며 "그동안 회수 관리도 부실했고 이번 사고 이후 (불법 펨토셀이) 망에 붙지 못하도록 조치했다"고 답했다. 이어 "KT의 펨토셀 유효 인증 기간은 10년으로 설정돼 있었다"며 관리 부실을 인정했다.

최민희 위원장(더불어민주당 의원)에 따르면 SK텔레콤은 펨토셀이 이동통신사 코어망에 접속하기 위해 필요한 IPsec(nternet Protocol Security) 인증키에 대한 별도 인증 기간이 없지만 장비가 재시동될 때 재생성 되도록 조치해 왔다. LG유플러스는 2년의 인증기간을 두고 30일 이상 트래픽이 발생하지 않으면 펨토셀을 차단해 왔다. KT는 기존 인증기간 10년을 이번 사고 발생 후 한 달로 변경했다.

최수진 국민의힘 의원은 "KT는 6월 1일부터 3개월간 제한적으로 전수조사를 했는데 최소 1년은 시행해야 하지 않을까 생각한다"며 "자체 조사를 통해 피해 규모를 확인해야 한다"고 지적했다.

김 대표는 "문자메시지(SMS), 패스(PASS) 인증은 시간이 걸리는 사안이라 중요한 순서대로 SMS 인증부터 점검하겠다"며 "올해 1월 1일부터 전수조사를 시작하려 한다"고 설명했다.

이번 사태를 책임진 후 사퇴하겠다는 약속을 해 달라는 요구에는 "그런 말씀을 지금 드리기 부적절하고 우선 사태 해결에 최선을 다하겠다"고 했다.

앞서 KT는 지난 15일 이미 폐기한 서버 로그가 백업된 사실을 파악하고 임원회의 논의를 거쳐 지난 18일 백업 로그를 민관합동조사단에 제출했다.

김 대표는 서버 폐기 결정에 대해 "신중히 생각하고 하지 않아야 하는데 반성한다"면서도 "조직적 은폐는 생각하지 않았다"고 했다.

'회사 내부적으로 위약금 면제를 검토하고 있느냐'는 한민수 민주당 의원의 질문에는 "정보 유출 피해가 발생한 고객 2만30명에 대해서는 적극 검토하고 있으며 피해가 발생하지 않은 고객들의 위약금 면제 여부는 최종 조사 결과를 보고 검토할 예정"이라고 했다.

청문회에 출석한 류제명 2차관은 '위약금 문제는 KT도 SK텔레콤처럼 적용되느냐'는 김장겸 국민의힘 의원의 질의에 "KT가 통신사업자로서 안전한 통신 제공 의무를 위반했다면 당연히 위약금 면제 조치가 이뤄져야 한다"며 "조사단에서 명확하게 결과를 밝혀서 조치하도록 하겠다"고 답변했다.

류 차관은 합동조사단에서 KT 해킹으로 인한 복제폰이 만들어질 가능성까지 면밀히 보고 서버 폐기나 신고 지연 문제에 대해서도 고의성이 있는지 파악하는 대로 필요하다면 경찰 수사 의뢰 등 강력히 조치하겠다고 강조했다.

또 앞으로는 기업의 신고가 없더라도 침해 사고 정황을 인지하면 직권조사에 나설 수 있도록 이동통신 3사의 동의를 구했다고 밝혔다.

류 차관은 "객관적 전문가로 검증위원회를 구성하고 침해 사고 정황을 인지하면 검증위원회 판단을 구해 바로 조사할 수 있도록 동의를 구해 놓은 상황"이라며 "신고에 의존하지 않더라도 정부가 직권조사할 수 있게 하겠다"고 했다. 

shl22@newspim.com