사건의 출발점은 지난 8월로 거슬러 올라간다. KT는 해킹 의혹이 제기된 서버를 세 차례에 걸쳐 순차적으로 폐기했다. 그러나 한국인터넷진흥원(KISA)에 이를 제대로 보고하지 않았고, 특히 8월 12일에 폐기한 서버는 해킹 조사에 필요한 핵심 증거였다.

KT는 이를 단순한 ‘부서 간 착오’로 둘러댔지만, 이미 증거 인멸 의혹을 피하기 어려운 상황이었다. 이후 뒤늦게 로그 백업을 제출했지만, 그 시점에는 이미 많은 데이터가 사라진 뒤였다. 이 사건에서 국민이 느낀 분노의 본질은 ‘보안 실패’가 아니라 ‘은폐 시도’에 있다.

기업의 투명성은 위기 상황에서 드러난다. KT는 그 시험대에서 스스로 낙제점을 받았다. 사고의 진상을 밝히려는 진정성보다는, 여론의 파장을 최소화하려는 관리적 본능이 먼저 작동했다. 그러나 그 결과는 더 큰 불신이었다. 기술적 해킹보다 더 치명적인 것은 신뢰의 해킹이다.

KT는 “펨토셀이 범죄자에게 악용됐을 뿐, 자사는 해킹당하지 않았다”고 주장했다. 하지만 민관합동조사단과 외부 보안업체의 조사 결과, KT 서버는 명백히 침해당한 것으로 드러났다. 윈도우 서버 침투, Smominru 봇넷 감염, 원격 코드 실행, Metasploit을 통한 측면 이동 등 최소 네 건의 해킹 흔적이 확인됐다. 이는 단순한 의심이나 오해가 아닌, 명백한 침해사고의 정황이다.

그럼에도 KT는 9월 15일 보고서를 통해 해킹 사실을 인지하고도 18일 피해 브리핑에서 “해킹 흔적 없다”고 발표했다. 그리고 같은 날 밤 11시 57분, 모든 것이 드러난 뒤에서야 KISA에 침해사고를 신고했다. 국민을 향한 변명은 이미 신뢰의 끈을 끊어놓기에 충분했다.

이것은 단순히 늦은 보고의 문제가 아니다. 해킹 피해를 인지하고도 이를 숨긴 채 시간을 끌었다면, 그것은 국민과 정부를 향한 ‘기만’이다. KT는 ‘보고서 검증이 필요했다’는 이유를 들었지만, 실제로는 해명보다 은폐가 우선이었다는 사실이 여러 정황에서 확인되고 있다.

KT는 소액결제 피해와 서버 해킹의 연관성을 부인하며 “펨토셀 장비가 범죄에 이용됐을 뿐”이라는 논리를 내세웠다. 그러나 이는 기술적 맥락을 왜곡한 방어에 불과하다. 펨토셀의 기지국 소프트웨어 인증정보가 탈취되었을 가능성은 여전히 열려 있고, 이 문제는 KT의 서버 침해와 분리해서 볼 수 없다.

‘펨토셀’은 이용자 휴대전화와 직접 연결되는 통신 장비다. 그 보안이 뚫렸다는 것은 단순한 소액결제 문제가 아니라, 통신 인프라 전반의 신뢰성을 흔드는 사안이다. KT가 이를 “무관하다”고 선을 긋는다면, 그것은 기술적 판단이 아니라 책임 회피의 언어다.

KT는 과거 공기업이었던 시절의 명맥을 잇는, 여전히 ‘국민 기업’으로 불리는 존재다. 통신망을 관리하고 국가 기반 인프라의 한 축을 담당한다는 점에서, 그 책임은 단순 민간 기업 이상이다. 그런 KT가 이번 사태에서 보여준 모습은 참담하다. 해킹 피해를 숨기고, 보고를 지연하고, 서버 폐기 과정을 불투명하게 처리했다. 그 모든 과정이 국민의 알 권리와 소비자의 신뢰를 침해했다. 공공적 책무를 지닌 기업이 스스로 그 신뢰를 내던졌다면, 그것은 기술적 실패보다 더 무거운 죄다.

기업의 위기는 기술로부터 오지 않는다. 책임을 회피하고, 진실을 감추는 순간부터 시작된다. KT가 국민에게 진정으로 사과해야 하는 이유는 바로 여기에 있다.

이번 사태는 단순한 관리 부실의 문제가 아니다. 수많은 소비자 피해와 직결된 중대한 사회적 문제이다. KT는 이제 선택해야 한다. 침묵과 은폐의 길을 계속 갈 것인가, 아니면 국민 앞에 진실을 밝히고 신뢰 회복의 첫걸음을 내딛을 것인가.

기업의 명성은 위기 때의 정직함으로 결정된다. 해킹보다 무서운 것은 거짓말이며, 기술보다 중요한 것은 진실이다. KT가 이 단순한 사실을 잊는다면, 이번 사태는 ‘보안 사고’가 아니라 ‘국민 기만 사건’으로 역사에 남을 것이다.