< KT망 해킹 소액결제 사건의 근본적 해결을 위한 제언 >
KT 소액결제 해킹 사건에 대한 9월 10일 과기정통부 브리핑에 대해 의구심이 듭니다.
조사 대상 사업자를 배석시켜 적극적으로 변명할 기회를 주었는데요, 과기정통부-KT 합동 브리핑이라고 해도 과언이 아닙니다. 과기부는 내용 파악 다 한게 맞는지, 그냥 KT 대변하려 그 자리를 만들었는지 묻고 싶습니다.
사건 발생 이후 엄정한 조사를 받아야 할 KT가 조사자인 정부의 발표 자리에 직접 나와서 많은 시간을 할애하여 언론 질문에 답변했고, 그마저 시원하게 정리되는 내용 없이 곤란한 질문은 얼버무리거나 추가 확인이 필요하다는 변명으로 일관했습니다. 사실을 밝히는 것이 아니라 적당히 보여주기식으로 넘어가기 위한 자리였나 하는 의문을 지울 수가 없습니다.
KT 소액결제 사건을 ‘가상 기지국’ 문제로만 한정하고 덮어서는 안됩니다. 이용자 명의로 소액결제를 하기 위해서는 수많은 개인정보와 서비스 인증 절차가 필요하며, 이를 가상 기지국 해킹만으로 달성하기는 매우 어렵습니다. 소액 결제 사고 자체가 개인정보 유출 정황이 있음을 입증하고 있기 때문입니다.
KT 이용자들의 피해 정황을 바탕으로 판단해보면, 가상 기지국(펨토셀)과 유심 복제, 유심 단말까지 활용되었을 가능성이 상당합니다. 이 말은 사전에 이용자의 이름, 생년월일, 전화번호 등 개인정보와 유심 및 단말 정보 등이 모두 유출되어 있었다는 의미입니다. 이게 사실이라면 역대급 사건이 아닐 수가 없습니다.
같은 사건을 두고 같은 날(9월 10일) 개인정보보호위원회는 KT와 LGU+의 개인정보 유출 의혹에 대한 조사에 착수했습니다. 그간 해외 보고서에서 지적되어 온 해킹 정황과 시민단체의 조사 요청, 피해자 신고 등을 종합 고려하여 기민하게 움직이는 모습입니다.
반면, 과기정통부는 해킹 피해 전반을 조사하는 것도 아니고, 마지못해 ‘KT의 소액결제 사건’에 대해서만 조사를 하겠다는 입장으로 보입니다. 자칫하면 면피성 조사에 그칠까 걱정이 되는데, 많은 국민이 해외 보고서 등에 나타난 국내 통신사의 해킹 피해에 대한 꼼꼼하고 폭넓은 조사 결과를 기다리고 있다는 점 잊지 않으셔야 할 겁니다.
제가 앞선 포스팅에서도 말씀드렸지만, 이 사건은 네트워크 관련된 이슈인 동시에 KT에 대한 다른 해킹 사건이 연결되어 있을 가능성이 높습니다. 그리고 이 정도로 방대한 개인정보가 탈취되어 있다면 해커의 공격 시도는 계속 다변화해서 발생할 것이고, 또 다른 해킹 피해는 얼마든지 재발할 수 있습니다.
민관합동조사단이 사건의 한 조각에만 관심을 쏟다가 전체 그림을 놓치는 우를 범하지 않길 바랍니다. 동시에 네트워크 보안 강화와 정부 차원의 국가적 보안 거버넌스 확립을 시급히 병행해야 합니다.
출처: https://m.facebook.com/story.php?story_fbid=pfbid033LwPpsrJ5yPMYW7m1vbFixEefr6...