KT 상황이 '점입가경'이다. KT가 지난 9월 신고한 '무단 소액결제 및 불법 소형 기지국(펨토셀) 해킹 사고'가 KT의 난맥을 상징하는 흑역사로 남을 전망이다. KT 내부 업무처리 과정과 감독 체계가 무너졌다는 사실을 여실히 보여줬다. KT 민영화 이후 KT 최고경영자(CEO) 선임 과정이 유발한 거버넌스(전략 및 의사결정 구조) 손상의 일면이다. 김영섭 KT 대표의 연임 포기로 해결할 수 있는 선을 넘었다.

6일 정부는 이번 해킹에 관한 중간 조사 결과를 공개했다. 통신사의 근간인 이동통신 네트워크 관리 부실을 확인했다. 펨토셀은 소규모 이동통신 신호 음영 지역 해소 등에 쓰는 기지국이다. 이동통신 네트워크는 '코어망-기지국-단말'로 구성한다. 코어망은 가입자 인증 등의 역할이다. 그동안 KT는 기지국 관리를 사실상 하지 않았다. 펨토셀은 고객 정보 유출은 물론 통신 내용 입수를 위한 '패킷 감청' 수단으로도 쓰였다. 이동통신망의 신뢰성이 깨졌다.

관리를 하지 않았기 때문에 해킹 사실도 몰랐다. 9월1일 경찰의 문의로 알았다. 알고 나서도 바로 신고하지 않았다. 9월8일에야 한국인터넷진흥원(KISA)에 알렸다. 이후에도 사실 파악보다 피해 축소에 힘을 쏟았다. 3차례에 걸친 브리핑 때마다 '더 이상 피해는 없다'와 '추가 피해가 발생해 죄송하다'를 반복했다. 심지어 9월18일 실시한 2차 브리핑 때는 외부 검증 기관이 9월15일 추가 서버 해킹 사실을 통지했음에도 내부 정보 공유 미비와 신고 지연으로 이를 부인하는 촌극까지 벌어졌다.

지난 7월 알려진 미국 보안잡지 프랙의 해킹 의혹 제기도 부인으로 일관했지만 증거 인멸이 드러나 경찰 수사를 받는 처지가 됐다. 조사단이 사실을 알아내야 인정하는 일은 다른 건에서도 이어졌다. 2024년 3월 ▲BPF도어 ▲웹셸 등 악성코드 감염을 감춘 것이 드러났다.

이것도 KT가 자수한 것이 아니다. 백신을 돌린 흔적을 찾자 마지못해 인정했다. 43대 서버가 감염돼 2024년 7월까지 삭제 작업을 했다. 이 악성코드는 지난 4월 SK텔레콤 가입자식별모듈(USIM, 유심) 정보 유출에 이용한 수단이다. KT는 SK텔레콤의 해킹 때 KT는 안전하다고 SK텔레콤 가입자 대상 마케팅을 과도하게 해 방송미디어통신위원회 조사를 받고 있다.

펨토셀만 따져 보면 황창규 전 대표의 책임을 피할 수 없다. 펨토셀은 황 전 대표 시절 도입했다. 제대로 된 관리 방안 없이 구축에 나선 셈이다. 문제는 구현모 전 대표 시절 심화했다. 펨토셀 도입 이후 점검을 하지 않았다. 내부 보고와 감독 언제 어디서부터 잘못했는지 알 길이 없다. 어쩌면 김 대표는 아직도 전체 내용을 알지 못할지도 모른다. 이번 일은 인수인계만 제대로 됐어도 막을 수 있었을지 모르는 일이다.

KT CEO 자리를 성과와 자격보다 정부와의 인연을 중시하는 시각이 내부 임직원의 일하는 문화에 악영향을 미쳤다. CEO는 CEO대로 장기적 비전보다 자신의 공적에 치중했다.

인공지능(AI) 시대다. KT도 AI를 한다고 했다. AI는 데이터 관리와 운영이 중요하다. 이번 일은 KT의 AI에 대한 근본적 의구심을 갖게 한다. KT가 만든 AI가 안전할까. 개인정보를 정말 보호하고 있을까. 영속성은 있을까. KT는 지난 4일 신임 대표이사 선임 절차를 시작했다. KT 이사후보추천위원회는 연내 차기 대표 후보 1인을 선정할 예정이다. 벌써부터 낙하산 우려가 나온다. 이번에는 인수인계만이라도 확실한 CEO가 나왔으면 한다.

윤상호 기자 crow@techm.kr