[HBN뉴스 = 홍세기 기자] 13년간 4번의 보안 대참사를 겪고도 변하지 않는 KT에 대해 단순한 기술적 문제가 아닌 경영진의 안일한 인식과 기업문화의 문제라는 비판이 제기되고 있다.
19일 보안업계에 따르면, KT의 보안 불감증은 어제오늘 일이 아니다. 지난 2012년 870만명, 2014년 1200만명의 개인정보 유출이라는 대형 사고를 연이어 겪었음에도 근본적인 보안체계 개선이 이뤄지지 않았다.
 |
| KT 사옥 전경. [사진=KT ] |
특히 2014년 해킹 사건의 경우 누구나 쉽게 사용할 수 있는 '파로스 프록시'(Parosproxy)라는 프로그램으로 KT 가입자 1200만 명의 개인정보가 털렸다는 사실은 KT가 보안의 기본조차 지키지 않았음을 보여준다는 지적이 제기된다.
이 프로그램은 원래 웹 사이트의 취약점을 점검하고 분석하려는 목적으로 만들어졌지만, 인터넷에서 쉽게 다운로드할 수 있고 사용법도 간단해 초보 해커나 일반인도 쉽게 사용할 수 있다.
해킹 방식도 지극히 단순했다. 000000000부터 999999999까지 9개의 숫자를 모두 자동입력한 뒤 이와 매칭되는 고객 정보를 모조리 빼돌리는 '브루트 포스(Brute Force)' 공격이었다. 보안업계에서는 잘못된 암호가 수차례 입력되면 잠금 기능이 작동하도록 하는 통상적인 기능만 있었더라도 이번 공격을 막을 수 있었을 것으로 진단했다.
2012년 해킹 이후 표현명 KT 개인고객부문 사장이 "세계 최고 수준의 보안 인프라를 갖춘 기업으로 거듭나겠다"고 약속했지만 2년 뒤 더 큰 규모의 해킹을 당했다.
당시 KT는 정보보호 우수기업에 주는 '정보보호관리체계(ISMS) 인증'까지 받았던 상황이었다.
◆ 조직적 해킹팀 운영, 고객 PC 공격의 충격
더욱 충격적인 것은 2020년부터 4년간 지속된 KT의 고객 PC 악성코드 공격 사건이다. KT는 웹하드를 사용하는 고객들의 PC에 아무런 동의나 설명 없이 악성코드를 심어 60만 명의 피해를 입혔다.
경찰 조사 결과 KT 분당 IDC 데이터센터에서 '악성코드 개발' 담당, '유포와 운영' 담당, '감청' 담당으로 나누어 조직적으로 활동한 것으로 드러났다. 이는 보안을 지켜야 할 통신사가 오히려 고객을 공격한 상황이다.
◆ 경찰 통보에도 "뚫릴 수가 없어요" 안일한 대응
KT의 안일함은 최근 무단 소액결제 사건에서도 그대로 드러났다. 경찰이 지난 9월 1일 피해 신고 접수 사실을 통보했음에도 KT는 "KT는 뚫릴 수가 없어요. 그런 일은 발생할 수 없다"며 나흘간 사실을 부인했다.
언론 보도가 나온 후에야 부랴부랴 대응에 나선 모습은 13년간 반복된 해킹 사태에서도 전혀 학습하지 못한 기업의 오만함을 적나라하게 보여준다는 지적이 나오는 이유다.
◆ 끝나지 않는 약속의 무한반복
13년간 KT가 보여준 패턴은 명확하다. 사고가 터지면 사과하고 "세계 최고 수준"의 보안 강화를 약속하지만, 몇 년 뒤 더 큰 사고가 반복된다.
2025년 SK텔레콤 해킹 사태 이후 KT는 또다시 5년간 1조원의 보안 투자를 약속했지만, 불과 몇 달 만에 무단 소액결제와 서버 해킹이라는 이중 사고를 당했다.
전문가들은 "KT의 반복되는 보안 사고는 일시적 미봉책에 그친 결과"라며 "근본적인 보안 체계 개선이 이뤄지지 않았다"고 지적한다.
국민의 개인정보를 다루는 국가 기간망 사업자로서의 책무를 방기한 채 같은 실수를 반복한 KT의 모습은 더 이상 용인될 수 없는 중대한 실패라는 목소리가 끊이지 않고 있다.
[ⓒ HBN뉴스. 무단전재-재배포 금지]
