KT가 소액결제 해킹 사고의 발단이 된 펨토셀(소형 기지국)을 사실상 방치하고 있었던 것으로 나타났다. SK텔레콤·LG유플러스는 문제가 있는 펨토셀 사용을 중단하는 보안 조치를 실시했지만, KT는 해킹 사고가 불거지기 전까지 최소한의 대책도 내놓지 않은 것이다. 또 KT는 개인정보가 유출된 2만30명에 대해선 위약금 면제를 적극 검토하겠다고 밝혔지만, 일반 이용자 피해보상 여부에 대해선 확답을 내놓지 못했다.

김영섭 KT 대표이사는 24일 국회 과학기술정보방송통신위원회가 개최한 KT·롯데카드 해킹 사태 청문회에서 증인으로 출석해 “펨토셀 관리 실태를 보니 허점이 많고 관리가 부실했다”고 인정했다. 펨토셀은 가정·사무실 등에 설치하는 초소형 기지국으로, 이번 소액결제 해킹은 불법 펨토셀을 활용한 범죄로 알려졌다.

문제는 KT가 통신3사 중 펨토셀을 가장 많이 설치했으면서 소액결제 해킹 사고가 불거지기 전까지 불법 펨토셀을 사실상 방치하고 있었다는 점이다. SK텔레콤은 펨토셀이 7일 이상 사용되지 않을 경우 자동으로 망 접속을 차단했으며, LG유플러스는 30일 이상 트래픽이 없을 경우 장비를 차단했다. 하지만 KT는 펨토셀 인증 기간을 10년으로 설정하고 중간관리를 하지 않은 것으로 나타났다.

또 SK텔레콤·LG유플러스는 허가받지 않은 펨토셀이나 설치 위치가 급변한 펨토셀이 서버에 접속하지 못하도록 조치를 취해왔으나, KT는 이 같은 조치를 하지 않았다. KT는 소액결제 해킹 사고가 불거진 후에야 안전조치를 취했다. 이밖에 KT는 사용기한이 종료된 펨토셀을 회수하지 않았으며, 재고 관리도 하지 않고 있었다. 김영섭 대표이사는 “이번 문제가 발생한 뒤 보니 펨토셀에 허점이 많았고, 관리가 부실했다”면서 “(사용기한이 지난) 펨토셀 회수도 부실했다”고 밝혔다.

이에 대해 이해민 조국혁신당 의원은 “KT 코어망(메인서버)은 (해킹) 자동문인가”라며 “KT가 잃어버린 펨토셀만 3000대다. 이번 사태를 일으킨 불법 펨토셀이 4대 정도 되는 것으로 추정되는데, 3000대의 잠재적 불법 펨토셀이 있는 것”이라고 지적했다. 이 의원은 “이번 사태는 KT의 관리부실로 인한 예견된 사고”라고 지적했다.

KT가 이번 사고가 불거진 직후인 지난 8일 업무준칙을 변경해 해킹 사고에 대한 자사 책임을 축소했다는 비판도 나온다. 당초 KT 업무준칙에는 “KT는 가입자 또는 인증서를 신뢰하는 이용자에게 발생하는 손해에 대해 그 손해를 배상한다”는 내용이 있었으나, 지난 8일 이 부분이 삭제됐다. 이 의원은 “준칙을 왜 바꾸는가. 피해보상이 무서웠는가”라며 “김영섭 대표는 이번 사태가 끝난 뒤 사퇴하는 게 좋을 것”이라고 지적했다.

KT가 10여 년 전부터 펨토셀 보안에 대한 경고를 들었음에도 제대로 된 대책을 세우지 않았다는 문제도 발견됐다. 참고인으로 청문회에 참석한 김승주 고려대 정보보호대학원 교수는 2015년 KT와 미팅을 진행해 펨토셀 보안 취약점을 알렸다고 설명했다. 김 교수는 “당시 KT에 펨토셀 보안 취약점을 알렸으며, 당시에는 조치를 취하겠다고 밝혔다”고 했다. 하지만 김영섭 대표는 이에 대해 “내용을 정확히 파악하지 못했다”고 했다.

KT는 전체 이용자에 대한 피해보상에 대해서도 구체적인 답을 내놓지 않았다. 김영섭 대표는 “정보 유출까지 피해가 발생한 고객 2만30명에게는 (위약금 면제를) 적극적으로 검토한다”고 밝히면서도 “(전체 이용자를 대상으로 한 위약금 면제 여부는) 생각은 하고 있지만 최종 조사 결과를 보고 피해 내용을 고려해 검토하겠다”며 확답을 피했다. 김영섭 대표는 개인정보가 유출된 이용자 2만30명에게 단말기 교체 비용을 지원할 의사가 있냐는 이해민 의원 질의엔 “수사 결과가 나오면 종합 판단하겠다”고 했다.

반면 류제명 과학기술정보통신부 2차관은 “이번 사태에서 KT가 안전한 통신 제공의 의무를 위반했다면 당연히 위약금 면제 조치가 이루어져야 한다고 생각한다”며 “조사단에서 명확하게 결과를 밝혀서 조치하도록 하겠다”고 밝혔다.