1일 이데일리 취재를 종합하면 과학기술정보통신부와 경기남부경찰청이 지난해 12월 29일 조사 결과를 발표한 이후에도 이번 해킹 사건의 파장은 이어지고 있다. 특히 KT 이사회가 고객 보상안을 논의하는 과정에서 보상 규모를 6000억원대에서 4000억원대로 낮춘 사실이 전해지며 책임론이 재점화됐다.
이번 사건의 핵심은 해커가 KT 불법 펨토셀 20개를 활용해 약 2만2000명의 개인정보(이름, 전화번호 등)를 유출하고, 368명의 고객에게 총 319만원 규모의 무단 소액결제 피해를 발생시킨 점이다. 조사 결과 KT는 소형 기지국인 펨토셀의 인증서와 접속 통제를 부실하게 관리해, 해커가 설치한 불법 장비가 통신망에 접속하고 통신 내용을 도청하거나 인증 정보를 탈취할 수 있었던 것으로 드러났다. 이에 과기정통부는 KT의 보안 관리 책임을 인정하고 피해 고객에 대해 위약금 없는 해지 등 보상 조치를 권고했다.
서버 감염 인지하고도 미신고…수사로 번진 ‘은폐 의혹’
사안은 여기서 그치지 않았다. 조사 과정에서 KT가 2024년 이미 43대의 서버가 악성코드(BPF도어 등)에 감염된 사실을 인지하고도 이를 정부에 신고하지 않은 채 자체 처리한 정황이 확인됐다. 과기정통부는 이를 문제 삼아 KT를 ‘위계에 의한 공무집행방해’와 ‘증거 인멸’ 혐의 등으로 경찰에 공식 수사 의뢰했고, 현재 수사가 진행 중이다.
사태의 심각성은 해외에서도 제기됐다. 독일 함부르크에서 열린 글로벌 보안 컨퍼런스에서는 보안 전문가들이 KT 펨토셀 취약점을 활용한 해킹 가능성을 실제로 시연하며 통신 인프라 전반의 보안 리스크를 공론화했다.
이사회 내부 온도차…의결 지연·보상 축소
이 같은 상황 속에서 KT 이사회가 보상안 확정 과정에서 의결 일정을 늦추고 보상 규모를 축소한 정황이 드러나면서 논란이 커졌다. 이데일리 취재에 따르면 KT는 정부 조사 결과 발표 직후 보상안 의결을 위해 이사회 개최를 추진했지만, “심사숙고가 필요하다”는 이유로 일정이 하루 미뤄졌다.
이사회 내부의 시각차도 컸다는 증언이 나온다. 일부 사외이사는 보상 프로그램이 과도하다며 “1개만 하자”는 취지의 의견을 냈고, 또 다른 사외이사는 “왜 우리가 이런 벌금을 내야 하느냐”는 취지의 발언을 했다는 전언도 있다.
반면 다른 이사들과 KT 임원진은 통신산업의 규제 특성과 정부 보고 의무 등을 근거로 보상의 시급성을 강조하며 설득에 나섰고, 논쟁 끝에 보상안이 가까스로 통과됐다는 설명이다.
보상 규모 축소 과정 역시 쟁점이다. KT 내부에서는 당초 6400억원 수준의 보상안이 거론됐지만, 이사회 논의 과정에서 4500억원 선으로 조정돼 최종 확정된 것으로 알려졌다.
KT의 한 임원은 “해킹을 당했는데 왜 보상하느냐는 인식이 이사회에 일부 있었다”며 “의결 자체를 꺼리는 분위기 속에서 ‘대폭 줄이라’는 요구가 나왔고, 내부적으로는 투표까지 거론됐다”고 말했다. 그는 “결국 이사회 사무국이 올린 다양한 소비자 보호 대책이 축소됐다”며 “이사회 지배의 정당성이 있는지 의문”이라고 덧붙였다.
[이데일리 김일환 기자]
이번 논란의 본질은 고객 보상이 기업의 재량적 ‘선택’이었는지, 아니면 기간통신사로서 법적·사회적 책무에 기반한 ‘공적 책임’이었는지에 대한 판단으로 모아진다.
위기 대응 국면에서 이사회가 어떤 원칙과 기준으로 의사결정을 했는지, 그 과정이 이용자 보호에 대한 시장과 사회의 기대에 부합했는지를 둘러싼 논쟁이다. 이데일리는 김용헌 KT이사회 의장에게 전화와 문자를 보내 설명을 요구했지만 연락이 닿지 않았다.
한편 KT는 지난해 12월 30일 김영섭 대표의 대국민 사과와 함께 약 4500억원 규모의 고객 보상안을 공개했다. 1월 13일까지 2주간 위약금 없는 해지를 허용하고, 전용 데이터와 OTT 이용권 등을 포함한 고객 보답 프로그램을 제공하되 통신요금의 직접 감면은 제외하는 내용이다.
