"KT 펨토셀 10년 방치 관리 부실…SKT는 미사용 즉시 삭제"

24일 과방위 청문회

김영섭 KT 대표가 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고 청문회에 출석했다. [사진=나선혜 기자]

KT가 펨토셀 장비의 유효 기간을 10년으로 설정해 사실상 관리 공백을 방치해온 사실이 국회에서 도마에 올랐다. 장기간 미사용 장비가 회수·삭제되지 않은 채 방치되면서 보안 허점이 드러났다는 지적이다.

김영섭 KT 대표는 24일 국회 과학기술정보방송통신위원회에서 열린 통신·금융 대규모 해킹사고 청문회에서 “소액결제 관련 여러 예기치 못한 사고로 고객뿐 아니라 국민들께 불안과 걱정을 끼쳐 드려 죄송하다”며 고개를 숙였다. 이어 “펨토셀이 이번 문제의 시발점이었다”며 관리 부실을 인정했다.

이상휘 국민의힘 의원은 “펨토셀에서 이상 징후가 감지됐는데, 간단히 말하면 관리 부실 아니냐”며 “KT는 펨토셀 유효 기간을 10년으로 설정해 사실상 내버려둔 것 아니냐”고 지적했다. 이에 김 대표는 “관리 부실이 맞다”며 “설치 이후 접속이 중단되거나 위치가 변경될 경우 모니터링을 해야 하지만 제대로 이뤄지지 않았다”고 답했다.

이 의원은 “그게 아니라 애초에 장비를 폐기할 때 회수했어야 한다. 결국 회수하지 않았기 때문에 불법적으로 활용된 것”이라고 질타했고, 김 대표는 “맞다”고 수긍했다.

같은 자리에서 SK텔레콤은 관리 방식의 차이를 설명했다. 이종현 SK텔레콤 부사장은 “망에서 사용하지 않는 펨토셀은 일주일 동안 사용 내역을 보고, 3개월간 사용이 없으면 망에서 삭제한다”며 “망에 붙지 못하도록 관리한다”고 밝혔다.

최민희 과방위원장도 "KT가 장비 유효 기간을 10년으로 설정한 것은 사실상 장기간 방치해온 셈이다"고 지적했다. 

이 의원은 “KT는 설치와 관리를 외주에 맡기다 보니 전문 기사가 아닌 인력이 처리해 문제가 발생한다”며 “SK텔레콤은 자회사에서 직접 관리하고 있지 않느냐”고 물었다.

또 이 의원은 과학기술정보통통신부 류제명 2차관을 향해 “펨토셀 연구를 KISA와 같이 하지 않았느냐”고 물었고, 류 차관은 “국민대에 용역을 줘 펨토셀 보안 취약성에 대한 연구를 진행한 적 있다”고 답했다. 이에 이 의원은 “결국 이런 위험성이 13년 전에도 지적됐다는 것 아니냐”고 질타했다.