[비즈니스포스트] 지난 10월21일 국회 과학기술정보방송통신위원회 국정감사.

증인으로 출석한 김영섭 KT 최고경영자(이하 사장)가 해킹 및 무단 소액결제 사태와 관련한 의원들의 추궁에 "나는 통신 전문가가 아니다"라고 밝혔다. 통신 요금제에 대해 모른다고도 했다.
 

그 때까지만 해도 '통신사 CEO라고 해서 꼭 통신 전문가일 필요도 없고, 요금제에 대해 모를 수도 있지'라고 대수롭지 않게 넘겼다.

하지만 지난 6일 과학기술정보통신부 민간합동조사단(이하 조사단)의 KT 해킹 및 무단 소액결제 사고 중간 조사 결과 발표를 보면서 생각이 달라졌다.

'통신사 CEO는 반드시 통신 전문가여야 한다'는 확신을 갖게 됐다.

조사단 조사 결과는, 통신 전문가가 아닌 통신사 CEO는 통신서비스 산업의 심장이라고 할 수 있는 네트워크의 중요성을 깨닫지 못할 뿐만 아니라 통신사업 자체에 흥미를 느끼지 못하고 자신감도 떨어져 자꾸 딴 곳으로 시선을 돌린다는 것을 단적으로 보여줬다.

햇빛을 받지 못한 음지 쪽은 음습해지며 이끼가 자라나듯, 기업 경영에서도 최고경영자의 관심과 시선을 받지 못한 쪽은 인력과 투자 등에서 소외되고 종사자들의 성취감도 떨어질 수밖에 없다.

사실 이런 지적은 오래 전부터 있어왔다. KT CEO가 연이어 '낙하산' 식으로 선임될 때마다 언젠가 큰 사고가 날 것이란 전망이 나오기도 했다. 그리고 결국 황창규 회장 때는 서울 아현동 통신구 화재로 이용자들이 큰 피해를 당했고, 이번에는 해킹 및 무단 소액결제 사태로 이용자들이 피해를 당했다.

만약 부득이한 이유로 통신 전문가가 아닌 사람을 통신사 CEO로 선임해야 한다면, 내부에서 통신 전문가를 발탁해 통신사업을 총괄하는 부서의 수장으로 임명하고 인사와 조직 개편·운영의 전권을 줘야 한다는 지적도 많았지만, 받아들여지지 않았다.

무슨 뚱딴지 같은 소리냐고?

조사단의 중간 조사 결과 발표를 보면, KT의 통신망 관리와 보안 상태는 '엉망' 이하였다.

앞서 SK텔레콤 통신망이 뚫려 가입자 개인정보가 대량 유출되고 가입자들을 오픈런시키는 등 사후 대책까지도 바닥 수준을 드러냈을 때 "우리나라 1위 이동통신사가 어찌~"라는 탄식이 쏟아졌다.

조사단 중간 조사 결과 발표에 따르면, KT 역시 더하면 더 했지 결코 덜 하지 않다.

"우리나라 대표 통신사를 자처해온 KT에서 어찌 이런 일이"라는 탄식이 쏟아진다. 2022년 LG유플러스에 이어 올해 SK텔레콤과 KT도 같은 모습을 보이자 '그 놈이 그 놈'이라고, 통신 3사를 싸잡아 비난하는 목소리도 나온다.

SK텔레콤 임직원들이 그랬듯이, 요즘은 KT 임직원들이 "더 이상 뭐라 방어할 수가 없게 됐다"고 말하며 허탈하게 웃는다.

"KT가 지난해 3~7월 동안 비피에프도어(BPFDoor)와 웹쉘(Webshell) 등 악성코드에 감염된 서버(컴퓨터) 43대를 발견했지만, 정부에 신고 없이 자체 처리한 사실을 확인했다." "KT 서버를 포렌식(지운 것까지 복구해 조사)하면서 과거 백신 프로그램의 사용 흔적을 발견했는데, 그 이유를 해명하는 과정에서 KT가 뒤늦게 서버 감염 사실을 시인했다."

최우혁 조사단장(과기정통부 네트워크정책실장)은 KT 해킹 및 무단 소액결제 사태 중간 조사 결과 브리핑에서 이렇게 밝히며 "(KT가 이미 백신을 돌린 탓에) 지난 5월 정부의 통신·플랫폼 업체 대상 점검 때 이미 비피에프도어는 다 지워진 상태였다"고 설명했다.

앞서 한국인터넷진흥원(KISA)은 지난 9월 국회 과방위에서 KT 서버 침해 피해와 관련해 "비피에프도어 방식은 아니다"라고 했는데, KT가 백신 프로그램으로 지워버렸기 때문이었던 것으로 이번에 드러난 것이다.

조사단이 KT에서 보고받은 내용에 따르면, 당시 악성코드에 감염된 서버들에는 가입자들의 이름, 전화번호, 이메일, 단말기 식별번호(IMEI) 등도 담겨 있었다. 개인정보 유출 의혹이 일고, 개인정보보호위원회가 조사에 나선 배경이다.

KT 가입자 단말기와 통신망(코어망) 간에 데이터가 오갈 때 암호화 조처가 풀려, 유령(불법) 기지국(펨토셀) 을 통한 소액결제 인증 정보 탈취가 가능했던 사실도 파악됐다. 무단 소액결제 사고 원인과 경로가 비로소 드러난 셈이다.

또한 KT가 납품받은 펨토셀(소형 기지국) 모두 같은 인증서를 사용해, 이를 복사하는 방식으로 누구나 유령 기지국으로 KT 통신망에 접속할 수 있었던 것으로 드러났다. 펨토셀 접속 인증 과정에서 비정상적인 아이피를 차단하지 않았고, 펨토셀의 고유번호 등록 여부도 검증하지 않았다.

KT 통신망에 유령 기지국이 어떻게 침투할 수 있었는지가 밝혀진 것이다.

이른바 정상적으로 '관리'를 받고 있는 통신망에서는 절대 일어날 수 없는 일이 KT 통신망에서 벌어진 것이다. 그동안 KT는 정상적인 통신사 상태가 아니고, 국가 기간통신망의 중추를 이루는 KT 통신망 역시 정상적으로 관리되지 않고 있었다는 얘기다.

KT는 무단 소액결제 발생 당시 문자메시지를 통해 이용자 피해 발생 사실을 알리고 주의 사항을 공지하라는 요구도 묵살했다. 사후 대책도 바닥을 드러낸 것이다.    

만약 KT가 지난해 악성코드에 감염된 사실 발견 즉시 정부에 신고하고 유심 교체 등 가입자 단말기 보안 조치를 취했다면, 통신망 서버에 심겨진 악성코드와 유령 기지국을 좀 더 일찍 퇴치해 개인정보 유출과 무단 소액결제 피해 등을 최소화할 수 있었지 않았을까. 물론 역사에 만약은 있을 수 없다.

조사단 조사 결과, KT는 고의로 악성코드 감염 사실을 정부에 신고하지 않고 백신 프로그램을 사용해 지워버리는 방식으로 은폐한 것으로 드러났다.

문득 궁금해진다.

KT는 누구 지시로 통신망 서버 수십대의 악성코드 감염 사실을 은폐했을까?

김영섭 사장에게도 보고됐겠지?

통신망 보안을 맡고 있는 임원이나 직원이 '질책이 두려워' 혹은 '정부 신고로 외부에 공개되면 회사 이미지가 추락될 것을 우려해' 내지 '최고경영자에게 부담을 주지 않기 위해' 보고하지 않고 독자적으로 처리하고 은폐한 걸까? 

현행 정보통신망법 등에 따르면, 해킹 등 사이버 침해를 당했을 때는 즉각 정부에 신고해야 한다. 어기면 업무 방해 행위로 형사처벌을 받을 수도 있다. 통신사 통신망 보안 담당자들은 이를 잘 숙지하고 있다.

따지고 보면, 김영섭 사장은 보고를 받지 않았거나 직접 지시를 하지 않았다 해도 책임을 피해갈 수 없다. 통신망 관리와 보안에 관심에 두지 않은 것만으로도 '방조' 내지는 '방관' 책임에서 벗어나기 어렵다.
 

'나는 통신 전문가가 아니다'라는 말로 피해갈 수 없다.

조사단은 위계에 따른 업무 방해 혐의로 KT를 수사의뢰했다. 누구 지시로, 어떤 과정을 거쳐 악성코드 감염 사실이 은폐됐는지 등이 경찰 조사를 통해 명명백백하게 밝혀지고, 그에 맞춰 보완 장치가 마련돼야 한다.

KT 상황에 대해선 국회 과학기술정보방송통신위원회까지 나섰다.

과방위 소속 더불어민주당.조국혁신당 의원들은 조사단 중간 조사 결과 발표 직후 공동으로 'KT, 언제까지 국민을 기만할 것인가?'란 제목의 성명을 냈다.

의원들은 "통신서비스는 더 이상 선택이 아닌, 국민에게 보장되어야 할 기본권이며, 그 안전을 확보하는 것은 기간통신 기업의 책무다. 그러나 KT의 반복된 은폐와 거짓 대응은 최소한의 책임감조차 상실했음을 보여준다. 이는 단순한 경영 실패가 아니라, 국민의 통신권과 정보주권을 침해한 중대한 위반 행위"라며 "이번 해킹 사태의 전모를 끝까지 밝혀내고, 유사 사태가 재발하지 않도록 모든 입법적·정책적 수단을 동원할 것"이라고 밝혔다.

의원들은 또 김영섭 사장을 향해 "책임을 지고 즉각 사퇴할 것" 촉구했다.

이례적이다.

SK텔레콤 사장단 인사와 조직 개편이 새롭게 평가되는 것도 주목된다.

앞서 SK텔레콤은 지난 10월31일 판사 출신 정재헌 사장을 CEO로 임명하고, 조직을 개편했다. AI 사업 추진 쪽과 기존 이동통신 서비스 사업부문(MNO)를 각각 사내 회사(CIC)로 분리하고, 별도 사장을 임명했다.

AI는 신사업이고, 이동통신 서비스는 기존 주력 사업이다. 신사업과 주력 사업 조직을 각각 사내회사로 분리해 별도 장을 둔 것이다.

AI CIC는 유경상·정석근 부사장이 공동으로 장을 맡고, MNO CIC 장에는 한명진 사장이 임명됐다.

특히 기존 주력 사업부문의 MNO CIC 분리 결정은 갑작스럽게 이뤄졌다는 후문이다.

정재헌 CEO를 두고 '대외 CEO'란 분석이 나온다. 신사업과 기존 주력 사업은 각 CIC 사장이 이끌고, 정 CEO는 경영지원 조직을 지휘하며 최태원 회장 이혼 재산분할 파기 환송심, 개인정보보호위원회의 1348억원 과징금 부과에 대한 행정소송 여부 등 해킹 및 개인정보 유출 사태 뒷수습에 진력할 것으로 전망한다.

인수합병 전문가로 꼽히는 유영상 사장을 CEO로 선임했다가 사상 최악 해킹 및 개인정보 유출 사태가 빚어진 것을 교훈 삼은 인사와 조직 개편이란 분석도 새롭게 나온다. 필요에 따라 어쩔 수 없이 판사 출신을 CEO로 선임할 수밖에 없게 됐으니, 신사업과 기존 주력 사업은 따로 떼어 그 쪽 전문가에게 전권을 맡기는 것으로 보완 장치를 뒀다고 본다.

KT 안팎에선 "차기 CEO 후보를 고를 때 SK텔레콤 사장단 인사와 조직 개편을 참고할 필요가 있다"는 지적이 나온다. 차기 CEO는 통신 전문가를 선임하거나, 아니면 네트워크 쪽은 통신 전문가를 발탁해 전권을 주는 식의 보완 장치가 마련돼야 한다고 짚는다.

앞서 KT는 통신 전문가가 아닌 이석채 전 정보통신부 장관을 CEO로 선임했다가 사상 첫 연간 기준 적자를 기록한 바 있다. 역시 통신 전문가가 아닌 황창규 전 삼성전자 사장을 CEO로 선임했을 때는 서울 아현전화국 통신구에서 발생한 화재로 서울 서북부와 경기도 일부 지역의 통신망 장애를 두 달이 넘도록 완전히 해결하지 못해 이용자들이 큰 피해를 겪었다.

KT 이사회는 이사추천위원회를 구성해, 차기 CEO 후보 선임 작업에 착수했다. 추천과 응모 등을 통해 후보군을 만든 뒤 서류심사와 프리젠테이션·면접 등을 통해 연말까지 최종 후보를 확정할 계획이다. KT 차기 CEO 후보 도전 응모 신청은 16일까지다.

KT 전현직 고위 임원과 과기정통부 장관 출신 등 30여명이 응모와 추천 등을 통해 도전장을 낼 것으로 보인다. 김재섭 선임기자