[취재수첩] ‘KT 해킹’ 왜곡된 시그널만 남긴 정부 조사

[디지털데일리 강소현 기자] “로그 기록이 남아있지 않은 기간에 대한 유출 여부를 확인하는 것이 불가능했습니다”

과학기술정보통신부가 최근 KT 침해사고 조사 결과를 발표했다. 결론은 간단했다. 폐기된 서버와 남아 있지 않은 로그 등으로 인해 추가 조사가 어렵다는 것이다. 확인이 불가능하니 “일단 여기까지”라는 태도에 머물렀다.

문제는 이번 KT 사태를 단순 ‘해킹 사고’로 보기 어렵다는 점이다. 관리 사각지대에 놓였던 펨토셀이 통신망의 심장부인 코어망에 접속했고 이 과정에서 IPsec 인증키 관리가 허술해 종단 간 암호화 기능까지 사실상 무력화됐다. 결과적으로 해커가 마음만 먹으면 SMS·통화 감청까지 시도할 수 있는 구조가 방치돼 있었다는 것이다.

그럼에도 정부가 발표한 결과는 “조사에 한계가 있었다”는 한 문장으로 수렴됐다. 소액결제에 필요한 개인정보 유출 경로조차 특정하지 못했지만 더 이상의 판단은 유보하겠다는 식이었다. 이는 결과적으로 “증거를 은폐하면 책임도 줄어든다”는 왜곡된 정책 신호를 사업자에게 남겼다는 비판을 피하기 어렵다. 보안 사고에서 가장 경계해야 할 시그널이 정부의 입을 통해 전달된 셈이다.

정부 메시지의 강도 역시 사태의 심각성에 비해 지나치게 완곡했다는 지적이 나온다. 폐기된 서버를 통한 개인정보 유출 가능성에 대해선 “정황은 있으나 확인은 어렵다”고 했고, 이용자의 추가 피해 우려에 대해선 “현재로선 위험 가능성이 낮다”고 선을 그었다.

이는 지난 4월 SK텔레콤 침해사고 당시 정부의 어조와 대조된다. 당시 정부는 “부도덕한 행위” “이용자 보호 책임 소홀” 등 강경한 표현을 사용하며 사업자의 책임과 과실을 또렷하게 언급했다. 사고의 성격이 다르다는 점을 감안해도 감독기관의 언어가 현저히 달라졌다는 사실만큼은 부인하기 어렵다.

KT의 후속 조치 역시 책임을 무겁게 받아들인 결과로 보기엔 아쉬움이 남는다.

당장 KT가 지난달 30일 발표한 위약금 면제 기간을 보면 상당 기간이 ‘해킹에 따른 개인정보 유출 위험성이 알려지기 전’ 시점에 집중돼 있다. 면제 대상은 2025년 9월1일부터 2026년 1월13일까지 해지 고객인데 KT가 한국인터넷진흥원(KISA)에 비정상 결제 시도를 신고한 시점은 9월9일이다. 당시만 해도 KT는 “개인정보 해킹 정황은 없다”고 밝힌 상태였다.

더욱이 9월1일 이후 신규·기기변경·재약정 고객을 면제 대상에서 제외하면서 신규 가입자 이탈을 방어하기 위한 설정 아니냐는 의문도 제기됐다. 9월1일 이후 가입자는 ‘위험을 인지하고 선택한 고객’이라는 해석이 적용된 셈이기 때문이다.

보안 강화 대책도 사실상 재탕됐다. KT는 ‘제로 트러스트’ 기반 보안을 다시 강조했지만 이는 이미 5개월 전 (2025년7월) 발표된 전략의 연장선이었다.

그러는 사이 재발 방지 대책에 대한 의문은 오히려 커지고 있다. 지난 9월 펨토셀 보안을 강화한 것으로 알려졌음에도 불구하고 최근 유럽 최대 규모 보안 컨퍼런스인 ‘CCC(Chaos Communication Congress)’에선 KT 펨토셀을 활용해 약 30분 만에 새로운 인증서를 획득하고 KT 코어망에 접근했다는 시연 결과가 공개됐다.

과기정통부는 통신망 관리 및 감독 부처이자 업계가 따라야 할 기준을 제시하는 기관이다. “조사가 어려웠다”는 설명으로 서둘러 조사를 종결할 것이 아니라 왜 그 정도로 어려웠는지 그리고 그 자체가 문제라는 점을 분명히 짚었어야 하는 것이다.

이번 사고는 단순 해킹이 아니라 관리 실패가 누적된 끝에 통신망의 신뢰가 훼손된 사례다. 과기정통부는 이 같은 위험이 다시 반복되지 않도록 분명한 기준과 경고를 사업자에 남겼어야 한다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -