황창규 KT 회장이 고객 정보를 허술하게 관리해 또 한번 고개를 숙이게 됐다.

개인정보 유출 사건으로 2014년 3월 취임 직후 첫 공개행사에서 대국민 사과에 나섰던 황 회장은 이번엔 KT 자회사가 소셜네트워킹서비스(SNS)에 가입자의 주민등록증, 가입신청서 등을 공유한 것으로 밝혀져 20대 국회 첫 국정감사의 도마 위에 올랐다. KT 자회사는 가입자의 현관문 비밀번호까지 수집, 공유한 것으로 드러나 보안불감증이 심각한 수준인 것으로 확인됐다.

◆ KT, 고객 개인정보관리 허술… 현관문 비밀번호까지 노출

26일 더불어민주당 변재일 의원실에 따르면KT(030200)의 자회사 및 위탁업체 직원들은 가입자 유치·상담, 개통장애 처리, 실적보고 등의 업무를 위해 유·무선 가입자의 개인정보를 ‘네이버 밴드(band)’에 올려놓고 이용해 왔다. 변 의원은 “해당 밴드는 비밀번호조차 설정돼 있지 않았다”며 “누구나 KT 유·무선 가입자의 개인정보를 열람할 수 있었다”고 말했다.

변 의원실은 개인정보가 노출된 밴드를 25개나 찾아냈다. 이 밴드에는 가입신청서 60여건, 신분증 9건, 실명·전화번호·주소 등 개인정보가 3000여건이 공유됐던 것으로 드러났다. 특히 KT 자회사와 위탁업체 직원들은 가입자의 신분증 사본, 가입신청서 원본 사진을 밴드에 올리거나 고객 실명과 주소, 전화번호 등을 대화 형식으로 공유했던 것으로 확인됐다.

변 의원은 “개인의 신분증이 본인도 모르는 사이 SNS에 노출되는 것은 엄연한 범법 행위”라며 “개인정보 유출 피해가 발생하기 전에 방송통신위원회 차원에서 즉각적인 조사를 벌여야 한다”고 촉구했다.

구태언 테크앤로 변호사는 “유출된 고객의 무선 전화번호, 주민등록번호, 주소, 계좌번호 등이 범죄에 악용될 경우 금융사기와 같은 2차 피해로 이어질 수 있다”며 “SNS에 개인정보를 유출하는 것은 현행 법규상 위반일 뿐 아니라 개인의 사생활을 침해할 수 있는 중대한 범죄”라고 말했다.

심지어 KT의 네트워크 개통·유지·보수 담당자들은 아파트나 오피스텔의 공동 현관문, 장비실 등의 출입문 비밀번호를 밴드에 올려놓고 공유해온 것으로 드러났다. 다수가 거주하는 공동주택의 보안시스템에 구멍이 뚫린 것이다.

한 KT의 초고속인터넷망 가입자는 “우리 회사의 오피스텔 현관문 비밀번호도 KT 인터넷 설치기사들 사이에서 공유됐을 것 같아 불안하다”며 “관리실에 현관문 비밀번호를 바꿔달라고 요청할 것”이라고 말했다.

변 의원에 따르면, KT 기지국 등 통신시설의 출입문 비밀번호도 밴드를 통해 공유됐다. 이렇게 노출된 정보 중에는 KT의 영업전산 시스템의 아이디(ID)와 비밀번호도 포함된 것으로 드러났다. 국가기간통신망 운영사업자인 KT의 통신시설은 국가 중요 기간시설로 분류된다.

김용석 성균관대 정보통신대학 교수는 “KT 영업전산 시스템의 ID와 비밀번호가 유출되면 외부인이 접근할 수 있고 외부인이 이용료를 조작도 할 수 있게 된다”면서 “국가 중요 기간시설의 주요기밀정보가 노출돼 오과금 청구 등 가입자들이 크고 작은 피해를 입을 뻔 했다”고 말했다.

◆ 황창규 회장의 재발 방지 약속에도 보안불감증 여전  

앞서 KT는 2014년 3월 가입자 981만명의 주요 12개 항목 개인정보 1171만건을 유출해 정보통신망 이용 촉진 및 정보보호 등에 관한 법률을 위반한 혐의로 검찰 조사를 받은 바 있다.

KT 홈페이지를 해킹해 개인정보를 빼낸 혐의로 구속된 전문해커 김모씨 일당 3명은 2014년 8월 진행된 1심 공판에서 징역 2~3년을 각각 선고 받았다. 이들은 2013년 2월부터 약 1년간 개인정보를 유출해 텔레마케팅 업체에 넘겨 부당 수익을 올린 것으로 드러났다.

당시 KT는 정보 유출 사실을 모르다가 경찰 수사를 통해 알게 된 것으로 드러났다. 이 문제로 국민 여론이 들끓자 황창규 KT 회장은 대국민 사과 회견을 열고 보안관리를 철저히 할 것을 약속했다.

황 회장은 2014년 3월 8일 서울 광화문 KT 사옥에서 열린 ‘고객 정보 유출 사건 브리핑’에 나와 “해킹으로 개인 정보 유출 사건이 발생한 것에 대해 전 임직원을 대표해 국민 여러분께 머리 숙여 사죄한다”고 말했다. 이 브리핑은 2014년 1월 17일 황 회장이 KT 사령탑으로 취임한 후 열린 첫 번째 공개행사였다.

KT는 정보통신망법을 위반한 이 사건으로 방송통신위원회로부터 시정명령과 과태료 8500만원의 행정처분 조치를 받았다.

당시 황 회장은 고개를 숙이며 가입자 정보의 철저한 보안 관리를 약속했지만, KT는 불과 2년 만에 또다시 개인정보보호법과 정보통신망법을 위반했다는 지적을 받고 있다.

KT는 ‘개인정보보호법 제29조에 따라 개인정보처리자인 KT는 개인정보가 분실, 도난, 유출, 변조 또는 훼손되지 않도록 내부 관리계획 수립 등의 의무를 이행해야 한다. 이와 함께 KT는 ‘정보통신망법’ 제28조 및 제49조에 따라 개인정보의 보호 조치 의무를 부여 받은 ‘정보통신 서비스 제공자’로서 의무를 지켜야만 한다.

▲황창규 KT 회장이 2014년 3월 7일 KT 광화문 사옥에서 개인정보 유출 사건에 대해 사과하고 있다. / 유튜브 제공