해킹 대응을 위한 과기정통부-금융위 합동 브리핑

<류제명 과학기술정보통신부 제2차관>

   안녕하십니까? 과학기술정보통신부 제2차관입니다. 

   지금부터 현재 진행 중인 통신사, 금융사의 사이버 침해사고에 대한 과기정통부와 금융위의 조사 경과와 향후 대응 방향에 대해 말씀드리겠습니다. 

   우선 과기정통부 소관 사항인 KT 고객의 무단 소액결제 침해사고 관련 민관합동조사단 조사 상황 등에 대해 말씀드리겠습니다. 

   먼저, 이틀 전에 동 사건의 용의자들이 경찰에 검거됨에 따라 조사단은 경찰과 공조를 통해 관련 자료를 분석하고 사고 원인을 신속하고 철저히 분석하여 그 결과를 투명하게 공개하겠습니다. 

   현재 조사단은 해커의 불법 초소형 기지국이 어떻게 KT 내부망에 접속할 수 있었는지, 피해자의 통신을 어떻게 탈취하였는지, 소액결제에 필요한 개인정보는 어떤 경로로 확보하였는지를 중심으로 조사를 진행 중에 있습니다. 

   조사단은 KT의 펨토셀 관리·운영에 관한 실태를 파악하고 이 과정에서 발견된 KT의 문제점에 대해서는 우선 시정토록 조치한 바 있습니다. 

   또한, 불법 초소형 기지국이 KT 내부망에 접속하고 동작하는 방식을 파악하기 위해 초소형 기지국 테스트 환경도 구축하여 분석하고 있습니다. 

   다음으로, 이번 무단 소액결제 피해 규모 산정 방법에 대해 말씀드리겠습니다. 

   지난주 KT의 1차 브리핑 때에는 민원이 제기된 피해자의 통화 기록만을 가지고 불법 기지국 ID를 파악하고 약 1,800만 명의 KT 가입자 전체 통화 기록 중 해당 ID에 접속했던 가입자를 식별하여 피해자를 산정하였으나, 조사단은 숨겨진 피해자를 파악하지 못하는 일이 발생하지 않도록 소액결제를 이용했던 고객 전체, 약 220만 명의 통화 기록 2,267만 건을 분석하여 추가적인 불법 기지국 ID가 있는지 여부를 파악하고, 불법 기지국 ID가 추가로 발견될 경우 해당 ID를 KT 가입자 전체 통화 기록에 대입하여 추가 피해자를 식별하도록 KT에 조치하였습니다. 

   이에 KT는 피해자 단말이 불법 기지국으로 접속한 것을 확인한 최초 시기가 2025년 6월 26일임을 감안하여 2025년 6월 1일부터 9월 10일까지의 소액결제 서비스를 이용한 220만 명의 ARS 통화 기록 2,267만 건을 분석하였고, 그 결과 현재까지 민원이 제기된 피해자의 통화 기록을 바탕으로 확인된 불법 기지국 ID 4개 외 추가 ID는 발견되지 않았습니다. 

   이러한 피해자 식별 과정을 거쳐 KT는 당초 278명, 약 1억 7,000만 원에서 84명, 7,400만 원이 증가한 362명, 약 2억 4,000만 원의 피해 규모와 2만 30명의 이용자가 불법 기지국에 노출되어 전화번호, 가입자 식별번호 정보, 단말기 식별번호 정보가 유출된 정황을 어제 발표하였습니다. 

   추가 확인된 피해자분들에 대해서도 피해 금액에 대해 청구하지 않고 무상 유심 교체를 지원하고 있습니다. 

   또한, 금번 침해사고와 관련한 모든 피해나 조치에 대해서는 사업자가 책임지고 처리하기로 하였으니 국민 여러분께서는 안심하시기 바랍니다. 

   앞으로도 과기정통부는 KT에 추가적으로 확인된 피해자에 대해서도 보호 조치가 제대로 이루어질 수 있도록 행정 지도해 나가겠습니다. 

   9월 9일부터는 정상적인 인증을 거친 기지국들만 KT 내부망에 접속이 가능하도록 조치하여 현재는 어떤 종류의 미등록 불법 기지국을 통한 KT 내부망 접속은 불가능한 상태입니다.

   한편 어젯밤 KT는 외부 전문기업의 보안 점검 결과를 통해 추가적인 침해사고가 있었다는 사실을 인지하고, 어제 23시 57분에 정부에 신고하였습니다. 

   민관합동조사단은 이번 소액결제 침해사고와 함께 새롭게 접수된 침해사고뿐만 아니라 최근 해킹 조직의 주장 등 국민들이 불안해하는 사안에 대해서도 사실관계를 신속히 파악하여 국민들께 투명하게 공개하고 국민 피해 방지를 위한 최선의 조치를 다하겠습니다.

   다음으로는 해킹 대응 방향에 대해 말씀드리겠습니다. 

   정부는 최근 국민 생활에 밀접한 통신, 금융 등을 대상으로 하는 침해사고로 인해 국민 피해가 계속되고 있는 현 상황을 엄중히 받아들이고 있습니다.

   어제 대통령님께서도 말씀하셨듯이 보안 없이는 디지털 전환도, AI 강국도 사상누각에 불과합니다.

   이에 정부는 국가안보실을 중심으로 과기정통부, 금융위 등 관계부처와 함께 범부처 합동으로 해킹 피해 최소화를 위해 노력하고 있습니다. 

   과기정통부는 국내 최고의 보안 전문가들과 함께 현행 보안 체계 전반을 원점에서 재검토하여 임시방편적인 사고 대응이 아닌 보다 근본적인 대책을 마련할 계획입니다. 

   아울러, 기업들이 고의적으로 침해사고 사실을 지연하여 신고하거나 미신고할 경우 과태료 등 처분을 강화하고, 해킹 정황을 확보한 경우에는 기업의 신고 없이도 정부가 철저히 조사할 수 있도록 제도를 개선해 나가면서도 기업들이 자발적으로 보안에 대한 투자를 확대해 나갈 수 있도록 제도적인 유인책 마련도 병행해 나가고자 합니다. 

   그리고 해킹 사고를 예방·대응하는 데 있어 AI 기술을 적극 활용하는 등 국가 보안 체계 전반의 고도화에도 힘쓰겠습니다. 

   과기정통부는 국민들이 신뢰할 수 있는 안전한 디지털 환경 조성을 위해 총력을 기울이겠습니다. 

   이상으로 과기정통부 내용에 대해 브리핑을 마치겠습니다. 

   다음으로는 권대영 금융위원회 부위원장께서 발표해 주시겠습니다. 

<권대영 금융위원회 부위원장>

   안녕하십니까? 금융위원회 부위원장 권대영입니다. 

   최근 벌어진 롯데카드 정보유출 사고와 관련한 그간의 진행경과와 정부의 대응 방향에 대해 설명드리겠습니다. 

   정부는 사고 신고가 이루어진 초기 단계부터 소비자 2차 피해를 방지하고 침해사고 확산을 막기 위한 조치를 신속히 실시하였습니다. 

   9월 1일 침해사고 신고 즉시 롯데카드 측에 강도 높은 소비자 보호 조치를 주문하였고 유사 침해 방지를 위한 정보를 전 금융권에 전파하였습니다. 

   금융감독원과 금융보안원도 9월 2일부터 즉시 현장조사에 착수하여 정보유출 경위와 내용, 보안 위규사항 등을 면밀히 파악하고 있습니다. 

   롯데카드도 사고 인지 초기부터 부정사용 시 선보상, 추가 보안인증, 카드 재발급 등 소비자 보호 조치를 즉각적으로 취하였고 현재까지는 부정사용 피해는 나타나지 않고 있는 상황입니다. 

   그간 조사 과정에서 당초 신고한 내용보다 큰 규모의 유출이 확인되었습니다. 미상의 해커가 롯데카드의 온라인 결제 서버에 침입하여 당초 신고된 1.7GB를 포함해 총 200GB의 정보를 유출한 것으로 밝혀졌습니다. 

   롯데카드 측은 즉시 구체적인 유출 내용을 확인을 하였으며, 9월 17일 약 297만 명의 개인신용정보 유출을 확인하였습니다. 

   이 중 개인신용정보가 제한적으로 유출된 269만 명은 유출된 정보만으로는 부정사용의 가능성은 없습니다. 남은 28만 명의 경우에도 부정사용 가능성은 크지 않으나 단말기에 카드 정보를 직접 입력하는 키인(key-in)의 경우 일부 가맹점에서 취약점이 제기되어 이미 이상거래탐지시스템을 가동하고 있으며 이를 차단하기 위해서 노력하고 있습니다. 

   이 부분도 현재까지는 부정사용이 확인된 바는 없습니다. 다만, 정부는 긴장을 늦추지 않고 최고 수준의 경계감을 가지고 대응하고 있습니다. 

   롯데카드 측은 9월 18일 대표 사과와 함께 고객분들에게 유출 사실과 대응 요령 등을 정확히 알리고 신속한 카드 재발급, 추가적인 본인인증 등 소비자 보호 조치를 발표한 바 있습니다. 

   정부는 롯데카드의 소비자 보호 조치가 차질 없이 이뤄지도록 면밀히 관리·감독해 나가겠습니다. 

   아울러, 금융감독원의 조사 결과 등에 따라 위규사항이 확인되는 경우에는 일벌백계의 차원에서 엄정한 제재를 취할 방침입니다. 

   금융위원회는 최근 연이어 발생하고 있는 금융권 해킹 등 침해사고에 대해서 매우 엄중하고 무겁게 인식하고 있습니다. 국민 여러분들께 송구한 마음입니다. 

   해킹 기술과 수법이 보다 치밀해지고 교묘하게, 빠르게 진화하는 반면, 우리 금융권의 대응은 이를 따라가지 못하는 측면이 있다고 생각합니다. 

   보안투자를 불필요한 비용이나 부차적인 업무로 여기는 안이한 자세가 금융권에 있지 않은지 냉정하게 돌아봐야 될 시점이라 생각합니다. 

   최근의 일련의 사태를 계기로 국민들께서 금융회사를 신뢰할 수 있도록 보안 실태에 대한 밀도 높은 점검과 함께 재발 방지를 위한 근본적인 제도 개선에 즉시 착수하였습니다. 

   금융회사 CEO 책임하에 전 전산시스템과 정보체계 전반을 긴급히, 신속히 점검토록 하고 금융감독원과 금융보안원 등을 통해 점검 결과를 면밀히 지도·감독해 나가겠습니다.

   근본적인 제도 개선 과제도 신속히 추진하겠습니다. 

   보안사고 발생 시 사회적 파장에 상응하는 엄정한 결과 책임을 질 수 있도록 징벌적 과징금 도입 방안을 신속히 추진하겠습니다. 

   금융회사가 상시적으로 보안관리에 신경을 쓸 수 있도록 CISO의 권한을 강화하거나 소비자 공시를 강화하는 등 다양한 대책도 강구하겠습니다. 

   아울러, 불가피한 침해사고 발생 시 금융회사가 신속히 시스템을 복구하고 즉시에 적절한 피해자 구제에 나설 수 있도록 제도 개선 과제도 발굴·추진하겠습니다. 

   AI 선도국가로 도약하는 과정에서 해킹이라는 암초에 걸리지 않기 위해서는 정부·금융회사·유관기관 등이 힘을 합쳐 보안이라는 튼튼한 체계로 무장해야 합니다. 

   이번 사태에 대해서 다시 한번 송구스럽게 생각하며, 국민 여러분들께서 안심하실 수 있도록 사태 수습과 근본적인 제도 개선 방안에 최선의 노력을 기울이겠습니다. 

   감사합니다.