▲ 고개 숙인 KT 표현명 KT 개인고객부문 사장과 송정희 부사장이 10일 오전 KT 광화문 사옥에서 해킹 방지 대책을 발표하기에 앞서 870만 고객 개인 정보를 유출한 데 대해 머리 숙여 사과하고 있다. ⓒ 김시연

870만 고객 개인정보를 유출한 KT가 이른바 '면죄부 인증'을 박탈 당할 위기에 처했다.

한국인터넷진흥원(KISA)은 KT가 지난달 해킹 사고를 숨긴 채 '개인정보보호 관리체계(PIMS)' 인증을 받았다는 <오마이뉴스> 단독 보도와 관련, 인증 취소 절차에 착수했다.(관련기사: 870만 개인정보 털린 KT에 방통위 '면죄부' 인증 ) 

"해킹 사고 의도적으로 숨겨... 허위 인증시 취소 가능"

장상수 KISA 보안관리팀장은 10일 "KT가 인증 과정에서 해킹 사고 발생 사실을 의도적으로 숨긴 것으로 보고 있다"면서 "거짓이나 허위로 인증을 취득했거나 인증 기준을 준수하지 않은 게 밝혀지면 인증 취소가 가능하다"고 밝혔다.

장 팀장은 "인증 전에 KT 사고 사실을 몰랐다"면서 "7월 11일부터 18일 사이에 인증위원회가 열렸기 때문에 그 과정에서 해킹 사고를 알았다면 인증을 재검토하거나 취소했을 것"이라고 밝혔다.

KT는 지난달 13일 해킹 사실을 처음 발견하고 경찰에 바로 신고하고도 정작 방통위와 KISA에는 5일이나 지난 18일에야 통보했다. 덕분에 KT는 18일 PIMS 인증을 받을 수 있었다. PIMS 인증은 개인정보보호조치 체계를 일정 수준 이상 구축한 기업에 부여하는 것으로 인증 기업은 개인 정보 유출 사고가 발생하더라도 과징금을 50%까지 감면받을 수 있다. 일종의 '면죄부'인 셈이다. 

방통위와 KISA는 지난달 말부터 KT 개인정보유출 사고 관련 실태 조사반을 구성해 KT가 정보통신망법을 어겼는지를 조사해왔다. 아울러 개인정보보호 관리체계를 점검해 PIMS 인증 취득 과정에 문제가 없었는지도 함께 조사했다.

KISA는 이달 중 전문가로 구성된 인증위원회를 다시 소집해 KT 인증 취소 문제를 논의할 예정이다. PIMS 인증을 비롯해 지금까지 정보보호 관련 KISA 인증을 받은 기업들 가운데 자진 취소한 사례는 있지만 박탈 당한 사례는 없어 취소 확정시 큰 파장이 예상된다. 

KT "인증과 해킹 사고는 무관"... 방통위 "허위 인증 소지"

KT는 지난해부터 PIMS 인증 작업을 진행해 왔다며 자진 반납할 의사가 없음을 내비쳤다. 그룹 정보관리 책임자인 송정희 KT 부사장은 이날 오전 KT 광화문 사옥에서 열린 기자간담회를 마친 뒤 이번 인증을 반납할 계획이 없느냐는 <오마이뉴스> 기자 질문에 "이미 지난 3월에 (인증 심사를) 받았던 것"이라면서 "이번 일과는 상관이 없다"고 밝혔다.

하지만 방통위 관계자는 9일 <오마이뉴스>와 한 전화 통화에서 "해킹 사고는 인증에 중요한 영향을 미칠 수 있는 요소"라면서 "사고 사실을 알리지 않고 인증을 받은 건 '허위 인증' 소지가 있다"고 밝혔다.

▲ KT 해킹 사고 관련 일지 ⓒ 오마이뉴스 박종현