KT가 이달 5일 해킹 사고를 인지하고 소액결제를 차단한 이후 사흘간 내부 보안 대응 등급을 최하위 수준인 '5등급(정상)'으로 유지한 것으로 확인됐다. 5등급은 침해가 없는 '정상' 상태일 때만 발령되는데, 해킹이라는 중대한 사고가 발생했음에도 안이하게 대처했다는 비판이 나온다. KT 내부 침해사고 대응 매뉴얼에는 1등급(심각), 2등급(경계), 3등급(주의), 4등급(관심), 5등급(정상) 등 총 5단계의 보안 대응 체계가 있지만, 매뉴얼에 따른 단계적 보안 등급 격상은 없었다.
30일 최수진 국민의힘 의원실에 따르면 KT가 침해사고 내부 대응 매뉴얼 최고 보안 단계인 1등급(심각)으로 격상한 시점이 해킹 사고를 인지하고 소액결제를 차단한 시점(5일)보다 3일 뒤인 이달 8일 20시 25분인 것으로 확인됐다. KT는 이달 1일 경찰로부터 소액결제 해킹 사실을 통보 받았고, 지난 5일에는 비정상패턴의 트래픽을 발견해 소액결제와 신규 접속 기지국을 차단하는 등 적극적인 해킹 조치 대응을 펼쳤다. 하지만 KT는 이달 8일까지 보안 대응 체계 5등급을 유지했다.
KT는 이상 징후를 감지하고도 내부 매뉴얼에 따른 단계적 보안 등급 격상을 하지 않았다. 보안업계 관계자는 "1등급 격상 이전에 최소 2~3등급까지는 보안 대응 체계를 높였어야 하는데 '정상' 단계를 유지한 건 이해할 수 없는 일"이라고 했다.
1등급 격상 시점(8일 20시25분)도 한국인터넷진흥원(KISA)에 침해사고를 신고한 시점(8일 19시16분)보다 1시간 이상 늦었다. 내부 매뉴얼에는 1등급 격상을 먼저 하고, 24시간 이내 KISA에 신고하게 돼 있다. 내부 매뉴얼상 순서도 제대로 지키지 않은 것이다. KT 내부 매뉴얼에 따라 보안 대응 체계의 1등급 격상이 필요한데도 불구하고, 침해사고 신고 이후로 격상을 미룬 것은 문제가 있다는 비판이다. 통신업계 관계자는 "내부 매뉴얼상 1등급 격상을 먼저했을 경우에 즉시 신고를 하지 않은 게 문제될 소지가 있었을 것"이라며 "침해 신고 시점까지 의도적으로 격상을 하지 않았을 가능성도 배제할 수 없다"라고 했다.
KT가 침해 사고를 인지했다고 밝힌 시점(8일 15시)에 대해서도 비판이 끊이질 않고 있다. KT가 지난 8일 KISA에 제출한 신고서에는 침해사고를 인지했다고 밝힌 시점을 '9월 8일 15시'로 적었다. 해킹 사고를 인지해 소액결제를 차단한 5일보다 3일가량 늦춘 것이다. 또한 KT는 '피해 사실인지(8일) 전 이상 징후도 없었음'으로 신고했다.
이번 해킹 사고에서 보여준 KT의 늑장 대응은 이뿐만이 아니다. KT는 자사 서버의 침해 사고를 15일 오후 2시쯤 인지했지만 3일이 지난 18일 오후 11시 57분에 KISA에 서버 침해 사실을 신고했다.