해킹 대응을 위한 과기정통부-금융위 합동 브리핑

<류제명 과학기술정보통신부 제2차관>
안녕하십니까? 과학기술정보통신부 제2차관입니다.

지금부터 현재 진행 중인 통신사, 금융사의 사이버 침해사고에 대한 과기정통부와 금융위의 조사 경과와 향후 대응 방향에 대해 말씀드리겠습니다.

우선 과기정통부 소관 사항인 KT 고객의 무단 소액결제 침해사고 관련 민관합동조사단 조사 상황 등에 대해 말씀드리겠습니다.

먼저, 이틀 전에 동 사건의 용의자들이 경찰에 검거됨에 따라 조사단은 경찰과 공조를 통해 관련 자료를 분석하고 사고 원인을 신속하고 철저히 분석하여 그 결과를 투명하게 공개하겠습니다.

현재 조사단은 해커의 불법 초소형 기지국이 어떻게 KT 내부망에 접속할 수 있었는지, 피해자의 통신을 어떻게 탈취하였는지, 소액결제에 필요한 개인정보는 어떤 경로로 확보하였는지를 중심으로 조사를 진행 중에 있습니다.

조사단은 KT의 펨토셀 관리·운영에 관한 실태를 파악하고 이 과정에서 발견된 KT의 문제점에 대해서는 우선 시정토록 조치한 바 있습니다.

또한, 불법 초소형 기지국이 KT 내부망에 접속하고 동작하는 방식을 파악하기 위해 초소형 기지국 테스트 환경도 구축하여 분석하고 있습니다.

다음으로, 이번 무단 소액결제 피해 규모 산정 방법에 대해 말씀드리겠습니다.

지난주 KT의 1차 브리핑 때에는 민원이 제기된 피해자의 통화 기록만을 가지고 불법 기지국 ID를 파악하고 약 1,800만 명의 KT 가입자 전체 통화 기록 중 해당 ID에 접속했던 가입자를 식별하여 피해자를 산정하였으나, 조사단은 숨겨진 피해자를 파악하지 못하는 일이 발생하지 않도록 소액결제를 이용했던 고객 전체, 약 220만 명의 통화 기록 2,267만 건을 분석하여 추가적인 불법 기지국 ID가 있는지 여부를 파악하고, 불법 기지국 ID가 추가로 발견될 경우 해당 ID를 KT 가입자 전체 통화 기록에 대입하여 추가 피해자를 식별하도록 KT에 조치하였습니다.

이에 KT는 피해자 단말이 불법 기지국으로 접속한 것을 확인한 최초 시기가 2025년 6월 26일임을 감안하여 2025년 6월 1일부터 9월 10일까지의 소액결제 서비스를 이용한 220만 명의 ARS 통화 기록 2,267만 건을 분석하였고, 그 결과 현재까지 민원이 제기된 피해자의 통화 기록을 바탕으로 확인된 불법 기지국 ID 4개 외 추가 ID는 발견되지 않았습니다.

이러한 피해자 식별 과정을 거쳐 KT는 당초 278명, 약 1억 7,000만 원에서 84명, 7,400만 원이 증가한 362명, 약 2억 4,000만 원의 피해 규모와 2만 30명의 이용자가 불법 기지국에 노출되어 전화번호, 가입자 식별번호 정보, 단말기 식별번호 정보가 유출된 정황을 어제 발표하였습니다.

추가 확인된 피해자분들에 대해서도 피해 금액에 대해 청구하지 않고 무상 유심 교체를 지원하고 있습니다.

또한, 금번 침해사고와 관련한 모든 피해나 조치에 대해서는 사업자가 책임지고 처리하기로 하였으니 국민 여러분께서는 안심하시기 바랍니다.

앞으로도 과기정통부는 KT에 추가적으로 확인된 피해자에 대해서도 보호 조치가 제대로 이루어질 수 있도록 행정 지도해 나가겠습니다.

9월 9일부터는 정상적인 인증을 거친 기지국들만 KT 내부망에 접속이 가능하도록 조치하여 현재는 어떤 종류의 미등록 불법 기지국을 통한 KT 내부망 접속은 불가능한 상태입니다.

한편 어젯밤 KT는 외부 전문기업의 보안 점검 결과를 통해 추가적인 침해사고가 있었다는 사실을 인지하고, 어제 23시 57분에 정부에 신고하였습니다.

민관합동조사단은 이번 소액결제 침해사고와 함께 새롭게 접수된 침해사고뿐만 아니라 최근 해킹 조직의 주장 등 국민들이 불안해하는 사안에 대해서도 사실관계를 신속히 파악하여 국민들께 투명하게 공개하고 국민 피해 방지를 위한 최선의 조치를 다하겠습니다.

다음으로는 해킹 대응 방향에 대해 말씀드리겠습니다.

정부는 최근 국민 생활에 밀접한 통신, 금융 등을 대상으로 하는 침해사고로 인해 국민 피해가 계속되고 있는 현 상황을 엄중히 받아들이고 있습니다.

어제 대통령님께서도 말씀하셨듯이 보안 없이는 디지털 전환도, AI 강국도 사상누각에 불과합니다.

이에 정부는 국가안보실을 중심으로 과기정통부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있습니다.

과기정통부는 국내 최고의 보안 전문가들과 함께 현행 보안 체계 전반을 원점에서 재검토하여 임시방편적인 사고 대응이 아닌 보다 근본적인 대책을 마련할 계획입니다.

아울러, 기업들이 고의적으로 침해사고 사실을 지연하여 신고하거나 미신고할 경우 과태료 등 처분을 강화하고, 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 철저히 조사할 수 있도록 제도를 개선해 나가면서도 기업들이 자발적으로 보안에 대한 투자를 확대해 나갈 수 있도록 제도적인 유인책 마련도 병행해 나가고자 합니다.

그리고 해킹 사고를 예방·대응하는 데 있어 AI 기술을 적극 활용하는 등 국가 보안 체계 전반의 고도화에도 힘쓰겠습니다.

과기정통부는 국민들이 신뢰할 수 있는 안전한 디지털 환경 조성을 위해 총력을 기울이겠습니다.

이상으로 과기정통부 내용에 대해 브리핑을 마치겠습니다.

다음으로는 권대영 금융위원회 부위원장께서 발표해 주시겠습니다.


<권대영 금융위원회 부위원장>
안녕하십니까? 금융위원회 부위원장 권대영입니다.

최근 벌어진 롯데카드 정보유출 사고와 관련한 그간의 진행경과와 정부의 대응 방향에 대해 설명드리겠습니다.

정부는 사고 신고가 이루어진 초기 단계부터 소비자 2차 피해를 방지하고 침해사고 확산을 막기 위한 조치를 신속히 실시하였습니다.

9월 1일 침해사고 신고 즉시 롯데카드 측에 강도 높은 소비자 보호 조치를 주문하였고 유사 침해 방지를 위한 정보를 전 금융권에 전파하였습니다.

금융감독원과 금융보안원도 9월 2일부터 즉시 현장조사에 착수하여 정보유출 경위와 내용, 보안 위규사항 등을 면밀히 파악하고 있습니다.

롯데카드도 사고 인지 초기부터 부정사용 시 선보상, 추가 보안인증, 카드 재발급 등 소비자 보호 조치를 즉각적으로 취하였고 현재까지는 부정사용 피해는 나타나지 않고 있는 상황입니다.

그간 조사 과정에서 당초 신고한 내용보다 큰 규모의 유출이 확인되었습니다. 미상의 해커가 롯데카드의 온라인 결제 서버에 침입하여 당초 신고된 1.7GB를 포함해 총 200GB의 정보를 유출한 것으로 밝혀졌습니다.

롯데카드 측은 즉시 구체적인 유출 내용을 확인을 하였으며, 9월 17일 약 297만 명의 개인신용정보 유출을 확인하였습니다.

이 중 개인신용정보가 제한적으로 유출된 269만 명은 유출된 정보만으로는 부정사용의 가능성은 없습니다. 남은 28만 명의 경우에도 부정사용 가능성은 크지 않으나 단말기에 카드 정보를 직접 입력하는 키인(key-in)의 경우 일부 가맹점에서 취약점이 제기되어 이미 이상거래탐지시스템을 가동하고 있으며 이를 차단하기 위해서 노력하고 있습니다.

이 부분도 현재까지는 부정사용이 확인된 바는 없습니다. 다만, 정부는 긴장을 늦추지 않고 최고 수준의 경계감을 가지고 대응하고 있습니다.

롯데카드 측은 9월 18일 대표 사과와 함께 고객분들에게 유출 사실과 대응 요령 등을 정확히 알리고 신속한 카드 재발급, 추가적인 본인인증 등 소비자 보호 조치를 발표한 바 있습니다.

정부는 롯데카드의 소비자 보호 조치가 차질 없이 이뤄지도록 면밀히 관리·감독해 나가겠습니다.

아울러, 금융감독원의 조사 결과 등에 따라 위규사항이 확인되는 경우에는 일벌백계의 차원에서 엄정한 제재를 취할 방침입니다.

금융위원회는 최근 연이어 발생하고 있는 금융권 해킹 등 침해사고에 대해서 매우 엄중하고 무겁게 인식하고 있습니다. 국민 여러분들께 송구한 마음입니다.

해킹 기술과 수법이 보다 치밀해지고 교묘하게, 빠르게 진화하는 반면, 우리 금융권의 대응은 이를 따라가지 못하는 측면이 있다고 생각합니다.

보안투자를 불필요한 비용이나 부차적인 업무로 여기는 안이한 자세가 금융권에 있지 않은지 냉정하게 돌아봐야 될 시점이라 생각합니다.

최근의 일련의 사태를 계기로 국민들께서 금융회사를 신뢰할 수 있도록 보안 실태에 대한 밀도 높은 점검과 함께 재발 방지를 위한 근본적인 제도 개선에 즉시 착수하였습니다.

금융회사 CEO 책임하에 전 전산시스템과 정보체계 전반을 긴급히, 신속히 점검토록 하고 금융감독원과 금융보안원 등을 통해 점검 결과를 면밀히 지도·감독해 나가겠습니다.

근본적인 제도 개선 과제도 신속히 추진하겠습니다.

보안사고 발생 시 사회적 파장에 상응하는 엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 방안을 신속히 추진하겠습니다.

금융회사가 상시적으로 보안관리에 신경을 쓸 수 있도록 CISO의 권한을 강화하거나 소비자 공시를 강화하는 등 다양한 대책도 강구하겠습니다.

아울러, 불가피한 침해사고 발생 시 금융회사가 신속히 시스템을 복구하고 즉시에 적절한 피해자 구제에 나설 수 있도록 제도 개선 과제도 발굴·추진하겠습니다.

AI 선도국가로 도약하는 과정에서 해킹이라는 암초에 걸리지 않기 위해서는 정부·금융회사·유관기관 등이 힘을 합쳐 보안이라는 튼튼한 체계로 무장해야 합니다.

이번 사태에 대해서 다시 한번 송구스럽게 생각하며, 국민 여러분들께서 안심하실 수 있도록 사태 수습과 근본적인 제도 개선 방안에 최선의 노력을 기울이겠습니다.

감사합니다.


[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.

<질문> 안녕하세요? 지금 KT에서 어젯밤에, 지금 이건 새로운 건인 것 같은데요. '침해 흔적 4건과 의심 정황 2건을 KISA에 지금 신고했다.'라는 내용이 지금 방금 말씀하신 브리핑 내용에도 포함돼 있는데 그거는 새로 추가된 내용인 것 같은데 어떤 정황인지 조금 자세히 설명을 부탁드리겠습니다.

<답변> (류제명 과기정통부 제2차관) 아까 브리핑 중에 말씀드렸듯이 어젯밤 23시 57분에 KISA, 정부에 KT가 침해사고를 신고했습니다. KT 설명에 따르면 KT는 지난 5월부터 지난 4월에 발생한 SK텔레콤의 침해사고 발생 직후에 자사의 통신망의 안전성 여부를 파악하기 위해서 외부 전문 보안업체를 용역을 통해서 보안점검을 실시하였다고 합니다.

그 결과 5월부터 엊그제 9월 15일까지 진행된 보안점검 결과 보고서를 KT가 접수받았고, 그 내용을 자체 검토하고 분석한 후에 어젯밤 보안 침해사고가 있었다는 사실을 신고하게 되었다고 밝혔습니다. 이번 민관합동조사단을 통해서 이 사실까지 포함해서 저희가 면밀하게 들여다볼 생각입니다.

<질문> 어제 KT에서 브리핑 여셨는데 어제 오후에 추가 정황을 밝혀서 KISA에 신고했다는 게 조금 납득이 되지 않습니다. 그러니까 용역을 맡긴 게 SKT 침해사고 발생 직후였으면 브리핑을 여실 때 그 시점을 예측하실 수 있었을 것 같은데 굳이 어제 브리핑 발표하시고 어제 또 이후에 KISA에 신고한 이 과정이 왜 생겼는지 좀 이해가 안 가서 설명을 부탁드리겠습니다.

<답변> (구재형 KT 네트워크기술본부장) KT 네트워크기술본부장 구재형입니다. 우선 이번 사고에 대해서 한 번 더 사과 말씀드리겠습니다. 지금 소액결제 건에 대해서는 저희가 네트워크 쪽의 불법 침해와 마케팅 쪽 부서와 이 부분은 진행하고 있었습니다. 있었고, 서버 점검은 저희 쪽의 CISO 쪽에서 별도의 진행과제로 4개월 동안 진행되고 있는 과제였습니다. 그래서 상호간에 연결성이 없다 보니 어제 저희도 저녁에 같이 그 내용을 알게 되었습니다. 그래서 저희가 브리핑 전에 이 사실을 알고 이런 상황은 아니라는 걸 말씀드리겠습니다.

<질문> ***

<답변> (구재형 KT 네트워크기술본부장) 자세한 내용은 저희가 합동조사단 조사를 통해서 말씀드릴 수 있도록 하겠습니다. 감사합니다.

<질문> KT 지금 추가로 발생한 침해사고 관련해서 이게 서버 침투 현황, 그러니까 어느 서버에 침투가 이루어진 정황인지 질문드리고요.

저 한 가지만 더 질문드릴게요. 얼마 전에 SKT 국제 해킹조직의 고객 데이터 탈취 주장 관련해서 과기부가 진위 조사, 진위 여부 조사하겠다고 밝히신 바 있는데, 그런데 이게 티맵 고객정보라는 이야기도 있는 것 같아요. 혹시 이게 티맵 고객정보가 맞는지, 아니면 SKT나 티맵으로부터 신고가 있었는지 질문드립니다.

<답변> (이동근 한국인터넷진흥원 디지털위협대응본부장) 한국인터넷진흥원 이동근 본부장입니다. 일단 아까 문의하신 첫 번째 질문에 어느 서버인 부분은 저희가 지금 관련 자료를 KT로부터 제출받고 세부 분석이 들어가야 되는 거기 때문에 지금 말씀드리기는 어려운 점 양해 부탁드리겠습니다.

그리고 말씀하신 SKT 고객정보 탈취 주장과 관련해서는 그 이슈를 저희 접하고 SKT 쪽으로 바로 현장에 가서 저희가 데이터 정합성이나 이런 것들을 확인했습니다. 그래서 일단 SKT 데이터는 아닌 것으로 확인이 됐고 말씀하신 티맵과 관련된 정보가 식별이 됐습니다. 그래서 일단 티맵 측에 통보는 했고 아직 침해사고 신고는 접수되지 않은 상황입니다.

<질문> 안녕하세요? 저 하나만 질문드리고 싶은 게 KT 소액결제 침해 사고 관련해서 개인정보 유출 경로 등 용의자를 통해서 추가 확인된 내용은 없는지와 그리고 이번 소액결제 침해사고 관련자 조사단에서 세컨드 폰을 만들었을 가능성을 염두에 두고 혹시 조사 중이신지 궁금합니다.

<답변> (류제명 과기정통부 2차관) 지금 개인정보 유출 경로나 경위에 대해서는 조사, 조사의 내용에 포함되어 있습니다. 아직까지 확인된 바는 없습니다.

그리고 세컨드 폰 관련된 부분도 저희가 조사 내용에 대해서는 아직 구체적으로 확인해 드리기 어려운 점 양해 바랍니다.

<질문> 안녕하세요? 저는 롯데카드 관련해서 두 가지 질문 있는데요. 롯데카드에서 원인 설명하기를 2017년 오라클 서버 보안 업데이트 패치 하나를 놓쳐서 해커가 웹셸을 설치하고 정보를 빼갔다고 했는데 혹시 이것 외에도 추가적인 보안 문제 가능성은 없는지 하나하고요.

두 번째는 롯데카드 최초 유출 시점 이틀 전에 ISMS-P를 획득했는데 이게 정부가 공인하는 보안인증을 거쳤음에도 유출 사고가 일어난 거에 대해서 어떤 이유로 감독이 허술했는지 궁금하고요.

지금 금융당국에서 징벌적 과징금 이런 얘기가 나오고 있지만 결국 심사기관도 책임을 지는 방향이 필요하다는 의견도 있어서 이 부분은 어떻게 검토하시는지 궁금합니다.

<답변> (권대영 금융위 부위원장) 마지막에 심사기관이요?

<질문> 네.

<답변> (권대영 금융위 부위원장) 심사 기관이라 함은 누구를?

<질문> 이번 같은 경우는 금융보안원이 인증심사 역할을 하시지 않으셨나요?

<답변> (권대영 금융위 부위원장) IS 인증. 이 부분은 굉장히 기술적이기 때문에 전문가로 하여금 답변을 드리도록 하겠습니다.

<답변> (권기남 금보원 사이버대응본부장) 안녕하십니까? 금융보안원 사이버대응본부장 권기남입니다. ISMS-P와 관련해서는 어떤 기업이 정보보호관리체계를 인증하는 건데 정보 보호를 할, 업무를 할 준비가 되었다, 이렇게 보시면 되고요.

그 인증을 받았다고 해서 그게 악성코드나 해킹에 완벽히 안심할 수 있는 그런 인증은 아니거든요. 그래서 이게 정보보호관리체계 인증으로만 보셔야 되고 정보보호관리체계 인증받은 기업들은 해킹이 언제든지 가능할 수 있다, 이렇게 보시면 될 것 같습니다.

첫 번째 질문이...

<답변> (사회자) 추가적인 정보 유출.

<답변> (권기남 금보원 사이버대응본부장) 첫 번째 사고... 질문에 대해서 말씀드리면 보안 패치가 안 돼서 그쪽으로 악성코드가 들어와서 이렇게 사고가 터진 건 맞고요. 추가적인 여러 가지 문제점들은 저희가 조사 과정에서 상세히 점검하고 이후에 보완해 나가도록 롯데카드와 충분히 협의하겠습니다.

<질문> 이왕 금융위와 과기정통부 다 오셔서 여쭤보는데 금융업과 통신이 기간산업이긴 하지만 최근에 또 AX 전환이 굉장히 빠르게 진행됐던 부분이 있습니다. 그래서 기업들이 투자를 할 때 우선순위가 보안에 없었던 게 아닌가, 이런 생각은 많이 의심을 제기하고 있는 상황이고요.

또 하나는 지금 결국에는 포렌식을 다 해보니까 KT에서 지금 악성코드가 나왔던 것 같은데 LG유플러스 괜찮은지 여쭤보겠습니다.

<답변> (류제명 과기정통부 제2차관) 기업들의 투자가 적정한지 여부에 대해서는 저희가 일정한 기준은 없습니다만 여러, 지금 현재 보안 상태에 대한 점검을 통해서 그 미비점들을 보완할 수 있는 정보보호 투자를 적극적으로 유도해 나갈 생각입니다.

예컨대 지금 현재 회사 내부들에서 CISO의 책임과 권한이 의사결정 과정에서 중요한 그런 포지션으로 관리가 안 되거나 또 CISO들의 예산통제권이나 이런 부분에 대해서도 같은 예산을 얼마나 정보보호를 효율적으로 쓸 수 있는지 이런 것들을 감독하는 이런 통제 체제 이런 것들이 전반적으로 규모와 함께 효율적 투자가 이루어지는 시스템도 갖춰져야 되는데, 지난번 SK텔레콤 사례에서도 그렇고 주요 기업들마저도 그런 CISO들의 어떤 투자의 효율성이나 통제권에 대한 회사 내부의 거버넌스 체계도 문제가 있다고 저희가 판단돼서 이런 투자 규모에 대한 적정성 여부도 적정한 투자가 되도록 좀 더 저희가 비교 지표들을 해서 이렇게 유도해 나가겠습니다만 내부적인 보안 거버넌스도 정보보호체계가 확실히 개선될 수 있는 의사결정 구조 이런 것들을 만들어 나가는데도 계속 관심을 가지고 기업들하고 소통을 하고 고쳐 나갈 계획입니다.

그리고 LG유플러스에 대해서는 저희가 특정한 회사의 특별한 정황이나 이런 구체적인 증거가 없이 말씀드리는 건 조심스러울 것 같고요. 지금 현재로서는 침해 정황이나 이런 것들은 아직 확인되지 않았다는 점 말씀드리겠고요.

지난번에 SK텔레콤 점검 과정에서 KT하고 LG유플러스에 대한 조사를, 강도 있는 조사를 나름대로 했습니다만 당시에 브리핑을 해드렸듯이 SK텔레콤은 사고가 난 당사자로서 정말 모든 서버를 몇 차례에 걸쳐서, 여섯 차례에 걸쳐서 점검하는 그런 과정을 거쳤는데 KT하고 LG에 대해서는 그런 전면적인 조사를 진행할 수 있는 물리적인 여건이나 상황이 안 돼서 SK텔레콤에서 발견된 BPFDoor나 이런 악성코드가 있는지 여부를 전수조사를 2차에 걸쳐서 했습니다.

그 당시의 전수조사 결과에 따르면 두 양사는 그 SKT에서 발견된 그런 악성코드는 발견되지 않았다는 점을 저희가 확인한 것이고요. 보안 상태 전반에 대해서 저희가 집중 점검한 거는 아니었다는 그런 한계에 대해서는 분명하게 말씀드리고 싶고요.

이번에 KT가, 저희도 좀 더 어제 신고한 사실에 대해서는 명확하게 파악을 해봐야 되겠습니다만 자체적으로는 외부 보안 전문업체를 통해서 광범위한 자체 보안점검을 실시한 것 같습니다. 그런데 그 결과 지금 어제 침해의 흔적과 정황에 대한 신고를 하게 됐던 것이고요. 그 부분을 감안해서 봐주시면 좋을 것 같습니다.

<답변> (권대영 금융위 부위원장) 금융 쪽에도 말씀을 드리겠습니다. 말씀하셨던 대로 지금 저희가 디지털화와 AI 쪽으로 가는 과정에서 이 문제가 터진 거에 대해서 한번 생각해 보면 해킹이 굉장히 고도화되는 것 같아요. 그래서 어떤 사실이 있으면 성공 사례를 해커들끼리 공유를 한다든지 교묘하게 진화되는 측면이 있고요.

저희 금융권도 지난 한 10여 년간은 큰 사고가 없었기 때문에 저희가 어떤 전체 예산 중에 IT나 보안 예산 또 그런 인력이나 조직을 이렇게 갖추는 거를 그동안 지도를 많이 했는데, 금융권의 자율적인 그런 쪽으로 하도록 그렇게 유도를 했는데 그런 측면에서 약간 좀 이쪽이 소홀히 된 측면이 있는 것 같고요. 그동안 또 디지털화가 촉진되다 보니까 망 분리라든지 이런 또 제도가 또 바뀌니까 취약점이 늘어난 그런 측면이 있습니다.

그래서 이게 굉장히 종합적인 그런 측면이 있기 때문에 정부가 생각하는 거는 전반적으로 금융회사의 자체 보안 역량을 강화하려고 합니다. 예를 들면 금융회사가 자체적인 보안계획을 수립해서 CEO 책임하에 관리하고 거기에 적절한 인력과 조직을 배치를 한다든지, 또 CISO가 좀 더 뭔가 독립적인 권한을 가지고 자료를 요구한다든지. 이게 이런 것 같아요, 대개 부차적이고 잔소리하는 이런 위치에 있는데 그거를 이제 저희가 IT·AI 강국으로 가기 위해서는 동등한 수준으로, 활용도 잘해야 되지만 보안도 중요하기 때문에 그런 측면으로 저희가 생각하고 있습니다.

저희는 그런 방안을 검토를 하고 있고, 금융회사의 보안 역량 강화를 위한 종합적인 방안을 저희가 준비해서 발표를 하도록 그렇게 하겠습니다.

<질문> 저 롯데카드를 여쭤보고 싶은데요. 롯데카드는 2014년에도 2,000만 건 이상의 정보유출 사고가 있었는데 그 이후에 제대로 보완이 안 된 걸로 볼 수 있는지 궁금하고요.

그리고 지금 여당을 중심으로 롯데카드 조좌진 대표 국정감사 소환 가능성 얘기도 나오는데 여기에 대해서 입장 있으신지 궁금하고요.

마지막으로 내년부터 시행 예정이지만 추가 피해 발생 가능성과 관련해서 책무 구조도도 영향이 있을 것으로 보시는지 궁금합니다.

<답변> (권대영 금융위 부위원장) 간단한 것부터 말씀드리면 국회에서 이 부분에 대해서 어떤 조사를 하거나 그거는 국회의 역할이고 국민들께서 그런 부분에 대해서 필요로 하면 아마 국회에서 판단할 사항으로 일단 보입니다.

말씀대로 아까 제가 한 10여 년간 사고가 없었다고 드린 말씀은 저희 금융권은 2014년에 카드 3사의 정보유출 사건이 굉장히 큰 사건이 있었고 그때도 롯데카드가 있었습니다. 이번에 또 롯데카드가 발생했는데, 저희가 만약에 그동안 이 보안에 대해서 소홀히 했거나 그다음에 이런 제도를 제대로 지키지 않았다는 그런 사실을 지금 감독원이 확인하고 있습니다. 그래서 그런 부분을 정확하게 확인을 해보고 나서 부족한 부분이 있으면 저희가 엄중하게 제재를 하겠다는 방침을 일단 가지고 있습니다.

아마 책무 구조도도 아마 이런... 그때를 방지하기 위한 어떤 제도적 장치로 도입이 되어 있으니까 그런 측면에서 저희가 검사 결과 등을 종합적으로 보면서 응당한 제재를 할 것이냐, 또는 제도를 개선할 것이냐, 그런 것들을 검토해 나가도록 그렇게 하겠습니다.

<질문> 안녕하세요? 롯데카드에 관련해서 여쭤보고 싶은 게 있는데 마침 보안원 관계자분도 와계시니까. 당국과 같이 9월 초에 바로 조사에 들어갔잖아요. 근데 아마 조사에 들어갔을 때부터 고객정보 유출이 좀 있을 것 같다, 라는 거를 조금이나마 인지를 하셨을 거 같은데 롯데카드가 지금 보름 넘게 홈페이지에 '아직 고객 유출은 확인되지 않았다.'라는 공지를 내걸고 있었잖아요. 근데 이거를 왜 '아직 섣부르게 그렇게 확언할 수 없다.'라고 '고객한테 그렇게 알릴 수 없다.'라고 왜 조치를 안 하셨는지, 그러면 보름 넘게 당국과 보안원도 고객정보 유출이 있을 수 있는데 저렇게 안내하는 건 아니지 않나, 이렇게 보시지는 않았는지 저는 좀 궁금해서 그 부분을 여쭤보고 싶습니다.

<답변> (권대영 금융위 부위원장) 기술적인 거는 추가적인 설명을 하도록 하되, 이 전체를 관리했던 저로서는 말씀하신 대로 그 사실 자체, 악성코드가 감염됐다는 확인을 보고 롯데카드가 이게 뭔지 이렇게 확인하는 그런 과정이 있었고요.

정확하게 9월 1일에 금융위와 금융감독원에 보고를 했고 저희가 바로 9월 2일에 검사를 나갔습니다. 그리고 제가 9월 초에 저희가 관계기관이 다 모였어요. 그때 기술적으로 보면 포렌식을 해봐야 되기 때문에, 저희가 포렌식 하는 과정에서 당초에 롯데카드가 신고했던 것보다 더 많은 200GB가 나왔고, 그때 저희가 정보의 유출에 대해서는 저희가 정보를 가지고 있었습니다, 어느 정도. 그런데 이게 확인이 안 되고 분류가 안 되니까 포렌식 하는 기간이 있었고 제 기억이 맞으면 그 중간에 롯데카드가 제한된 범위지만 '이러한 사실이 있습니다.'

그리고 또 일부 아까 말씀드린 대로 조금 위험한 군에 대해서는 개별적으로 알려 주고 하는 그런 과정을 거쳤는데 이렇게 정부의 대응이, 저는 이렇게 이해해 주셨으면 좋겠습니다. 어떤 상황이 있을 때 늑장 대응을 하거나 감추거나 그런 일은 있어서는 안 됩니다. 그렇게 관리를 했고요.

그러나 또 너무 확인되지 않은 사실을 또 너무 빨리 알리는 것도 과잉 대응을 해서 오히려 국민들께서 불안할 수 있기 때문에, 그런데 저희가 그런 판단을 내린 결정적인 거는 저희가 보기에는 그 정보로만은 부정사용의 가능성이 일단 없다는 것이 저희 판단이었습니다.

그래서 정확하게 포렌식 결과를 가지고 저희가 지금 이번에는 분류를 다 굉장히 상세하게 해서 했고 그것도, 고객한테 안내하는 방식도 어떤 분은 '괜찮을 겁니다.' 하고, 저희 금융위 국장도 어저께 받았더라고요. 제가 그걸 보니까 그분은 굉장히 낮은 위험군이시더라고요. 그래서 그분은 '비밀번호만 바꾸면 된다.' 이런 식으로 안내를 해야지, 800만 몇 명인데 '큰일 났습니다.' 이러면 시스템이 마비되는 그런 측면이 있습니다.

그래서 이거는 굉장히 공정하고 투명하게 대응해야 되지만 또 스마트하게 대응해야 되기 때문에 저희는 그런 프로세스와 절차를 이런 것들을 다 따지면서 저희가 할 수 있는 최선은 다했기 때문에 그 부분은 이해를 저희도 다 하고 싶었지만 잘하는 것도 중요하기 때문에 그렇게 했다고 이해해 주셨으면 되고 추가 답변은 안 해도 되지 않을까 싶은데요.

<질문> 안녕하세요? 먼저, KT에 질문이 있는데요. 소액결제 수단 중에 기존 상품권 외에 추가 확인된 교통카드라든지 피해 유형이 각각 얼마였는지 궁금합니다. 유형별로 어느 쪽이 더 많았고 왜 많았는지, 혹시 해당 결제 수단이 용이했던 건지요?

그리고 또 한 가지 질문이 있는데요. 6월부터 ARS 인증을 거친 소액결제 건을 전수조사 하고 결제 패턴과 통화 패턴 결합해 분석했다고 하셨는데요. 그런데 왜 조사기간이 6월부터인지 궁금합니다.

그리고 또 과기정통부 측에 질문도 있는데요. KT의 경우 CISO와 CPO 겸직이 돼 있는데 이게 또 구조적으로 문제다, 라는 지적도 나오는데 정말 보안사고 원인 중 하나로 보시는지, 또 해킹사고가 반복되는데 매번 기업들이 사고가, 사고 대응이 미숙하다고 하는데 이와 관련해서 어떤 대처 방안 마련이고 기업의 지시 혹은 가이드라인 계획이 있는지 궁금합니다.

<답변> (구재형 KT 네트워크기술본부장) KT 구재형입니다. 말씀하신 첫 번째, 소액결제 관련해서는 이게 ARS가 대부분이었습니다. 그래서 교통카드나 이런 부분은 미세했는데 그 정확한 금액은 저희가 확인해서 다시 말씀드리도록 하겠습니다. 대부분 ARS 결제였습니다.

그리고 두 번째, 6월부터 분석한 거는 저희가 9월, 8월 이렇게 역으로 계속 분석해 나갔습니다. 하다 보니 8월 일정 시점이 처음이었고 7월, 6월까지는 없어서 6월까지 일단 1차 분석을 완료한 상태에서 어제 말씀을 드렸고 추가적인 부분도 지속적으로 살펴보고 있다고 말씀드릴 수 있습니다. 이상입니다.

<답변> (류제명 과기정통부 2차관) CISO하고 CPO 겸직이 문제라는 지적이 있다는 거에 대해서도 저희들도 여러 의견을 듣고 있습니다. 다만, 아까 제가 답변에서도 말씀드렸습니다만 지금 전체적으로는 CISO의 회사 내에서의 어떤 독립성 그리고 회사 내에서의 어떤 위상과 또 CISO가 통제할 수 있는 자산의 범위와 예산에 대한 통제권 이런 것들이 실제로 뭔가 이렇게 차이를 만드는 아주 디테일이 있는 것 같습니다.

그래서 저희는 지금 여러 글로벌 사례도 분석하고, 또 지난번에 해킹사고를 겪은 기업들이 그런 CISO의 위상과 역할 이런 부분에 대한 보완 이후에 그런 성과들을 분석해서 기본적으로는 CISO가 어떤 사업부에 소속되거나 영향에서 벗어나서 CEO 직속으로, 또 그리고 이사회나 이런 데 독립적인 보고가 가능한, 그래서 회사의 전체적으로 내부 시스템에 대한 견제자의 역할을 충분히 할 수 있는 그런 독립적인 의사결정 구조가 필요하다는 문제의식은 갖고 있습니다.

그래서 그런 체계에 대해서 저희가 조금 더 정비해서 모범 사례로 모든 기업들이 그런 체제로 바꿔 나갈 수 있도록 유도해 나갈 그런 계획을 갖고 있습니다.

<질문> 안녕하세요? 발표 잘 들었는데 지금 공동브리핑인데 사실 따로따로 대책이 발표된 것 같아서, 혹시 같이 준비하고 계신 대책이 없는지 궁금하고요.

그다음에 대책을 보면 약간 다 선언적인 대책밖에 없어서 조금 더 구체적으로 어떻게 규정을 바꾼다든지, 어떤 식으로 준비를 하고 있는지도 자세히 설명해 주시면 감사하겠습니다.

<답변> (류제명 과기정통부 제2차관) 모두에 말씀드렸듯이 지금 국민들께서 통신, 금융, 굉장히 일상생활에 많은 영향 있는 두 영역에 있어서 해킹사고들이 최근에 잇따라 있어서 일단 관계부처인 우리 금융위와 과기정통부가 긴급하게 공동브리핑을 하게 된 것이고요.

지금 국가안보실을 중심으로 해서 두 부처 외에도 국정원, 개인정보보호위원회, 그 관련된 부서들이 지금 함께 논의들을 하고 있습니다. 그래서 종합적인 정부 대책은 이런 국가안보실을 중심으로 한 관계부처 회의를 통해서 종합적인 대책 또는 분야별 대책들을 저희가 함께 강구하고 있다는 말씀을 드리겠습니다.

<질문> 안녕하세요? 롯데카드 측에 여쭤보려고 하는데요. 어제 입장... 설명 밝혀 주신 것 들어보니까 '사용자, 고객 이름이나 이런 건 유출이 되지 않았다.' 이런 식으로 이야기를 해주셨는데 보안업계 측면에서 봤을 때는 '카드번호나 CVC나 기존에 유출됐던 정보들을 조합한다면 실물카드를 소지하지 않더라도 결제할 방법을 찾아낼 수 있다.' 이런 의견도 나오고 있는데 이에 대한 가능성도 두고 있는지 궁금하고요.

그리고 FDS 같은 시스템을 통해서 이상거래 탐지하겠다고 했는데 이게 사실 사후대응에 집중한 시스템이어서 사전차단과 관련된 대책도 있는지 궁금합니다.

<답변> (권대영 금융위 부위원장) 저희가 어떤 이런 가능성이 없다, 이렇게 볼 수는 없고 저희도 현재 시점에서 보면 저희가 카드를 꽂거나 긁게 이렇게 다 만들었기 때문에, 옛날에 여러분들 카드 버튼에 이렇게, 긁어서 복사를 하거나 버튼 누르는 그런 부분은 아주 낮은 수준, 0.0 몇 수준 정도로 일단 저희는 보고 있기 때문에 그럴 가능성이 없다, 이렇게 일단 판단 내렸습니다.

그러나 현재 그런 가능성이 없지만 말씀하셨던 대로 어떤 형태의, 어떤 방식의 그런 가능성은, 이 기술이라는 게 그렇기 때문에 열려있다고 보고 있고, 그래서 저희가 고객들한테는 위험군에 따라서, 유출의 정도에 따라서 비밀번호만 바꾸시면 되고, 어떤 분은 좀 안심하셔도 되고 어떤 분은 카드를 필요하면 재발급해 달라 했고 이렇게 고객들이 대응하는 측면이 있고요.

롯데카드가 대응하는 측면은 그 FDS 시스템이라는 게 이렇게 보시면 됩니다. 해외에서 갑자기, 국내 시스템하고 다른 시스템이, 아까 우리 기자님이 질문하신 대로 뭔가 일어날 수 있는 부분은 해외에서 결제가 일어나면 그동안 그냥 FDS만 돌리는 게 아니고 반드시 전화를 롯데카드가 결제가 들어오면 고객한테 전화해서 '해외에 계십니까?' 이렇게 확인하는 그런 절차를 저희가 가지고 있고요.

또 하나는 주로 온라인에서 그 문제가 일어날 수 있는 부분은 반드시 추가 인증을, 저희가 문자 인증이나 얼굴인식이나 이런 추가 인증을 하도록 그렇게 사전·사후를 다 막고 있다고 이렇게 말씀을 드리겠습니다.

<질문> KT 관련해서 브리핑하실 때마다 피해 규모가 늘어나는 것 같은데 오늘 자료를 보니까 KISA에 서버 침해 신고를 하셨는데 이후에 또 다른 추가 피해가 늘어날 가능성이 있는지, 그리고 KT가 파악하신 피해 발생 마지막 날짜는 언제이신지 궁금합니다.

<답변> (류제명 과기정통부 제2차관) KT가 확인한 마지막 피해 사례는 우리 KT 본부장님께서 답변해 주시고요.

지금 아까 브리핑 중에도 제가 피해액 규모 산정 방법과 관련돼서 다시 한번 상세히 말씀드린 이유가 접근하는 방법에 따라서 대상이 좀 정해지는 측면이 있어서 최초 조사 방법에서는 KT가 민원이 접수돼서 확인된 피해자들의 통화 기록, CDR을 분석해서 거기서 찾은 불법 기지국 ID가 전체 고객에 있는지를 확인한 겁니다.

그렇게 된다면 소액결제에 지금 피해가 집중되고 있는데 그 전체 고객들에 대해서도 확인되지 않은, 피해 고객 말고 불법 ID가 있는지를 놓치는 경우가 있기 때문에 저희가 그 범위를 좀 더 확대해서 220만 명의 소액결제를 이용한 해당 기간의 모든 가입자로 확대한 것이고요.

저희 지금 현재 판단으로는 더 이상 불법 ID... 불법 기지국 ID가 발견될 가능성은 없어 보입니다. 왜냐하면 피해 사례가 접수된 그분들을 분석해서 찾은 게 4개인데 220만 고객과 그리고 2,267만 건의 통화 기록을 분석했을 때 추가적으로 확인된 불법 ID는 없었습니다.

그래서 저희가 전체적으로 모든 고객의 CDR을 분석하는 거는 현실적으로, 물리적으로 어려운 측면도 있고, 또 그리고 불법적인, 정상 인증 단말만 지금 접속되도록 차단하고 또 소액결제 유사 패턴이 발생하지 않은 조치를 9월 5일부터 취하고 있어서 추가적인 피해나 추가적인 불법 ID가 있을 가능성을 낮게 보는데요.

그래도 지금 그 이전에, KT가 지금 현재 분석한 결론은 불법 ID가 최초로 발견된 게 6월 26일인데 더 이전에 혹시, 지금 패턴을 보면 어떤 일종의 몸 풀기와 같은 KT 시스템들이 지금 이게 불법 ID가 들어왔을 때 어떤 식으로 반응하는지를 보고 테스트하는 과정도 좀 있는 것 같거든요. 그래서 실제 피해 사례가 발생한 거하고는 상당한 기간이 생깁니다.

그래서 이 실험적인 접근을 언제부터 했는지는 사실 약간 저희가 로그 기록에서 확인하기 어려운 측면도 있어서 전혀 추가적인 피해가 없다고 단정적으로 말씀드리기는 어려울 것 같습니다만 지금 현재, 현재 상태 분석을 토대로 하면 그런 불법 ID 추가 발견 가능성이나 이런 부분은 좀 낮게는 보고 있습니다.

그렇지만 또 저희가 포렌식이나 더 면밀한 시나리오 분석을 통해서 범위를 좀 더 확대할 필요성이 있으면 더 해서 추가적 피해 여부는 면밀하게 저희가 따지겠습니다.

<답변> (구재형 KT 네트워크기술본부장) 확실한 거는 9월 5일 3시 이후에는 없습니다. 그래서 제가 그 마지막 날짜는 확인해서 정확한 시간을 말씀드리도록 하겠습니다.

<답변> (사회자) 장시간 질문하신 기자분과 우리 차관님과 부위원장님께 감사드립니다. 그럼 이상으로 브리핑을 마치겠습니다. 감사합니다.

<끝>