[ 김덕엽 칼럼니스트 ] 국민의 일상은 통신 위에 서 있다. 통화, 문자, 결제, 인증, 금융, 행정, 그리고 AI 서비스까지 오늘날 통신은 더 이상 선택적 편의가 아니라 사회의 기반 인프라다. 그렇기에 통신사의 보안 실패는 단순한 기업 사고가 아니라 공공 안전의 붕괴로 이어질 수밖에 없다.

과학기술정보통신부가 최근 발표한 KT·LGU+ 침해사고 최종 조사 결과는 이 점을 분명히 보여준다. 이번 사고는 고도화된 해킹 기술 때문이 아니라 기본적인 보안 관리조차 제대로 이행하지 않은 구조적 실패에서 비롯됐다.

KT의 경우 불법 펨토셀이 내부망에 접속할 수 있었고, 통신 암호화는 해제될 수 있었으며, 그 결과 인증정보 탈취와 무단 소액결제 피해가 실제로 발생했다.

 더 심각한 문제는 그 과정 전반에서 보안 관리가 체계적으로 작동하지 않았다는 점이다. 인증서 관리, 비정상 접속 차단, 로그 보관, 보안장비 구축 등 어느 하나 ‘국가 기간통신사업자’라는 이름에 걸맞은 수준이라 보기 어려웠다.

LGU+ 역시 자유롭지 않다. 침해 정황이 제기된 이후 서버 재설치와 폐기, 허위 자료 제출로 조사를 어렵게 만들었고, 결국 정부는 ‘위계에 의한 공무집행방해’ 혐의로 수사를 의뢰했다. 사고의 규모 이전에 사고를 대하는 기업의 태도가 더 큰 문제로 남았다.

이번 사안에서 주목해야 할 대목은 정부의 판단이다. 과기정통부는 KT의 행위를 ‘회사 귀책 사유’로 명시하며, 이용약관상 위약금 면제 규정 적용이 가능하다고 밝혔다. 이는 단순한 행정 해석을 넘어 “안전한 통신서비스 제공은 계약의 핵심 의무”라는 점을 정부가 공식적으로 확인한 것이다.

그동안 통신사는 ‘피해가 확인된 일부 이용자’와 ‘전체 이용자’를 구분해 책임을 축소하려는 경향을 보여 왔다. 그러나 통신 보안은 결과가 아니라 위험 노출 자체가 문제다. 평문 통신이 가능했고, 누구나 공격 대상이 될 수 있었다면, 이미 신뢰는 무너진 것이다.

AI 3대 강국을 말하는 시대다. 초연결 사회를 외치면서 정작 연결의 기초인 통신 보안을 기업의 선택 사항처럼 다뤄온 결과가 이번 사태다. 정보보호를 비용으로 취급한 경영 판단이 결국 국민의 피해와 사회적 불안을 초래했다.

이제 질문은 분명하다. KT와 LGU+는 과연 이번 사안을 일시적 사고로 넘길 것인가, 아니면 경영의 근본 문제로 직시할 것인가. 정보보호는 기술 부서의 일이 아니다. 경영의 문제이고, 윤리의 문제이며, 공공 책임의 문제다. 

국민이 매달 통신요금을 납부하는 이유는 단지 연결을 위해서가 아니라, 안전한 연결을 믿기 때문이다.

통신은 생명선이다. 그 생명선을 관리하는 기업에게, 이제 더 이상 변명할 여지는 없다.