과기정통부 "KT 추가 해킹 확인…CISO 권한 강화 추진"(종합)

KT, 외부 보안 점검서 침해 흔적 4건·의심 정황 2건 추가 신고
과기정통부·금융위 "CISO 독립성 확보해 CEO 직속·이사회 보고 체계로 격상"

19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과학기술정보통신부 류제명 제2차관이 질문에 답하고 있다 왼쪽은 금융위원회와 롯데카드 관계자 사진연합뉴스 — 19일 서울 종로구 정부서울청사에서 열린 해킹 대응을 위한 과기정통부-금융위 합동 브리핑에서 과학기술정보통신부 류제명 제2차관이 질문에 답하고 있다. 왼쪽은 금융위원회와 롯데카드 관계자. [사진=연합뉴스]

과확기술정보통신부가 KT의 외부 보안 점검을 통해 추가 침해사고 사실을 확인했다고 밝혔다. 최근 통신 금융 산업 전반의 보안 신뢰성 이슈가 다시 한 번 부각되고 있는 가운데, 과기정통부와 금융위원회는 이번 건을 민관합동조사단에서 면밀히 검토하고, 기업별 보안 거버넌스 강화 방안까지 논의하겠다는 입장을 밝혔다.

류제명 과기정통부 제 2차관은 19일 서울 정부청사에서 금융위원회와 합동 브리핑을 통해 "어제 밤 11시 57분 KT가 KISA에 침해사고를 공식 신고했다면서 “KT는 지난 4월 SK텔레콤 침해사고 직후 외부 보안 전문업체를 통한 통신망 점검을 의뢰했고, 그 결과를 지난 15일 최종 보고받았다. 자체 검토·분석을 거쳐 이번 보안 침해 사실을 알리게 됐다”고 발표했다.

이날 과기정통부는 KT가 최근 외부 보안 점검 결과를 토대로 침해 흔적 4건과 의심 정황 2건을 한국인터넷진흥원(KISA)에 추가 신고했다고 밝혔다. 정부는 이번 건을 민관합동조사단에서 정밀 분석할 계획이며, SKT 고객정보 탈취 의혹은 사실이 아닌 것으로 확인됐고 티맵 관련 정보만 일부 드러났다고 설명했다.

관련기사

류 차관은 “추가 확인된 피해자분들에 대해서도 피해 금액에 대해 청구하지 않고 무상 유심 교체를 지원하고 있다”며 “이번 침해사고와 관련한 모든 피해나 조치에 대해서는 사업자가 책임지고 처리하기로 했으니 국민 여러분께서는 안심하시기 바란다”고 강조했다.

이번 추가 신고가 브리핑 직후에 이뤄진 경위에 대해 구재형 KT 네트워크기술본부장은 “소액결제 침해 이슈는 네트워크·마케팅 부서에서, 서버 보안 점검은 정보보호 최고책임자(CISO) 조직에서 별도 진행되고 있었다”며 “부서 간 연결 통로가 약해 해당 사실을 브리핑 전 파악하지 못했고, 저녁 시간에야 내용을 공유받았다”고 해명했다.

최근 국제 해킹조직이 SK텔레콤 고객 데이터 탈취를 주장한 건과 관련해 정부와 KISA는 사실무근임을 확인했다고 전했다. 이동근 KISA 본부장은 “현장을 확인한 결과 SKT 고객 데이터는 아니었고, 다만 티맵 관련 정보가 일부 포함돼 있어 해당 업체에 통보했다”며 “다만 아직 침해사고 신고는 접수되지 않았다”고 설명했다.

과기정통부와 금융위는 최근 연이은 해킹 사고와 관련해 기업 내 보안 거버넌스 강화를 강조하며, 최고정보보호책임자(CISO)의 독립성과 권한을 대표(CEO) 직속·이사회 보고 체계로 격상시키는 방안을 추진하겠다는 입장을 밝혔다.

류 차관은 "기업들의 보안 투자가 적정한지 여부는 정부가 일률적으로 정할 수 없지만, 현재 점검을 통해 드러난 미비점을 보완하도록 정보보호 투자를 적극 유도할 계획”이라며 “CISO의 권한과 예산 통제권이 회사 의사결정 과정에서 충분히 반영되지 않는 문제가 반복돼 온 만큼 내부 보안 거버넌스 체계 개선에도 힘쓰겠다”고 말했다.

그는 이어 “CISO가 개별 사업부의 영향에 종속되지 않고, CEO 직속·이사회 보고가 가능한 체계가 필요하다는 문제의식을 갖고 있다”며 “글로벌 사례와 국내 해킹 사고 경험을 분석해 모든 기업들이 독립적이고 효율적인 보안 의사결정 구조로 전환할 수 있도록 유도할 것”이라고 강조했다.

권대영 금융위 부위원장도 보안 투자 소홀 지적에 대해 “해킹은 점점 고도화되고 있으며 성공 사례가 공유되면서 수법이 교묘하게 진화하고 있다”며 “금융권은 10여 년간 사고가 없어 자율적인 보안 체계를 유지했지만, 디지털 전환·망분리 완화 과정에서 취약점이 늘어난 측면이 있다”고 설명했다.

이어 “앞으로 금융회사가 CEO 책임 아래 보안 계획을 수립·관리하고, CISO에게 독립적인 권한과 자료 요구권을 보장하도록 유도할 계획”이라며 “정보기술(IT)과 인공지능(AI) 경쟁력을 강화하는 만큼 보안도 동등한 수준에서 관리돼야 한다”고 덧붙였다.

정부 합동 계획에 대해 류 차관은 “통신과 금융은 국민 생활과 직결된 기간산업으로 최근 잇따라 해킹사고가 발생해 긴급 공동브리핑을 했다”며 “현재 국가안보실을 중심으로 국정원, 개인정보보호위원회 등 관계부처가 함께 종합적인 대책을 논의하고 있다”고 밝혔다.