KT 가입자를 대상으로 한 소액결제 피해가 불법 초소형 기지국(일명 가짜 기지국) 강제 접속에서 비롯된 것으로 확인됐다. 이 과정에서 가입자식별번호(IMSI)가 유출됐고, 5000여 명 중 278명이 실제 결제 피해를 입었으며 피해액은 총 1억7000만 원에 달한다. IMSI 정보만으로는 결제가 불가능하다는 점에서 추가 개인정보 유출 가능성에 대한 우려가 제기되고 있다.
KT는 11일 서울 광화문 사옥에서 기자간담회를 열고 “이번 소액결제 피해는 불법 초소형 기지국 신호를 수신한 고객에게서 발생했다”고 설명했다. 조사 결과 불법 기지국 2대가 운영되면서 약 1만9000명이 신호를 수신했고, 이 중 5561명의 IMSI 정보가 유출된 것으로 파악됐다. KT는 해당 사실을 개인정보보호위원회에 신고했으며, 불법 기지국이 차량 등을 통해 이동이 가능했던 만큼 피해 지역은 서울뿐 아니라 경기와 인천 등지까지 확산됐을 가능성이 있다고 밝혔다.
구재형 네트워크기술본부장(상무)은 “망과 연동된 것은 우리 장비라고 인정했기 때문에 가능했던 것으로 보인다”며 “앞으로는 관리 시스템에 없는 기지국 ID는 연동되지 않도록 관리 체계를 강화하겠다”고 말했다.
그러나 이번 사건은 IMSI 정보 유출만으로는 설명되지 않는다. 소액결제 과정에서 본인 인증 수단으로 쓰이는 ARS 정보가 가로채졌다는 점에서, 과거 유출된 가입자 정보가 결합됐을 가능성이 제기됐다. 구 상무는 “IMEI나 주민등록번호 유출 여부는 민관합동조사와 경찰 수사에서 밝혀질 것”이라며 내부자 개입 가능성은 부인했다.
간담회 현장에서는 서버 폐기 논란과 추가 기지국 가능성에 대한 질문도 이어졌다. 황태선 정보보안실장은 “폐기한 서버는 단순 원격 지원 안내용 웹페이지였으며 고객 정보를 보유하지 않았다”며 “서비스 전환 과정에서 절차가 부족했던 점은 반성한다”고 밝혔다. 구 본부장은 “망과 연동됐던 장비는 도용됐을 가능성이 있으며, 전수조사를 통해 관리 체계를 강화하고 있다”고 설명했다.
또한 카카오톡과 당근마켓 로그인 피해와 관련해 김영걸 서비스프로덕트본부장은 “카카오톡 로그아웃 사례는 확인했지만 당근마켓 로그인 피해는 아직 확인되지 않았다”고 답했다. 한편 구조조정으로 인한 보안 인력 감축과의 연관성에 대해서는 구 본부장이 “작년 구조조정으로 보안 인력이 일부 줄었지만 이번 사건과 직접적 관련은 없다”고 선을 그었다.
KT는 피해자 보상과 관련해 “무단 소액결제 피해자는 현재 278명에서 수십 명 늘어날 수 있으며, 피해액은 전액 보상한다”고 밝혔다. 피해 고객에게는 개별 안내를 하고, 유심(USIM) 무상 교체와 통신사 이동 시 위약금 면제까지 검토한다는 방침이다. 또한 오는 12일부터는 소액결제 시 PASS 앱을 통한 생체인증을 반드시 거치도록 보안 절차를 강화한다.
김영섭 KT 대표는 “추가 피해를 막기 위해 기술적 조치를 취했고, 피해 고객에게는 전액 보상을 실시하겠다”며 “이번 사태를 철저히 점검하고 반성해 통신사로서의 의무를 다하겠다”고 사과했다.
▶ 기사제보 및 보도자료 press@cdaily.co.kr
- Copyright ⓒ기독일보, 무단전재 및 재배포 금지
