개인정보 유출은 절대 없었다더니... KT, 하루 만에 입장 번복

KT가 11일 최근 발생한 무단 소액결제 사태와 관련해 공식 사과하며 5561명의 가입자식별정보(IMSI) 유출 사실을 인정했다. "개인정보 유출은 없다"는 전날의 입장이 하루 만에 뒤바뀌었다.

김영섭 KT 대표는 이날 서울 종로구 KT 광화문빌딩에서 기자회견을 열고 "최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과드린다"며 "국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다"고 말했다.

KT에 따르면 회사는 지난 1일 수사기관으로부터 소액결제 피해 분석을 의뢰받았으나 당시에는 일반적인 스미싱 가능성이 크다고 보고 즉각 대응하지 않았다. 그러나 4일 특정 지역에서 피해가 집중되고 언론 보도가 이어지자 사안을 다시 분석했고, 결제 이력에서 비정상적인 패턴을 확인했다.

이에 5일 새벽부터 비정상 결제를 차단하고 소액결제 한도를 축소하는 등 조치에 나섰으며 이후 추가 피해는 발생하지 않았다고 밝혔다.

KT는 일부 피해 고객의 과금 데이터를 분석하는 과정에서 이들이 특정 기지국에 접속한 사실을 확인했는데, 해당 기지국은 KT의 초소형 기지국 체계를 따랐지만 자사 관리망에는 등록되지 않은 불법 기지국이었다.

KT는 8일 미상의 초소형 기지국 존재와 관련해 한국인터넷진흥원(KISA)에 침해 사실을 신고하고 신규 초소형 기지국 등록을 중단했다. 이후 불법 초소형 기지국을 통해 일부 고객의 IMSI 유출 정황이 확인돼 이날 개인정보보호위원회에 유출 신고까지 했다.

자체 조사 결과 민원 제기자 6명의 1년 치 통신 기록을 분석한 결과 하나의 불법 펨토셀 ID를 확인했으며, 다른 고객들의 이력을 조회하는 과정에서 또 다른 불법 펨토셀의 ID도 발견했다. 불법 펨토셀로부터 신호를 수신한 고객은 약 1만9000명으로 집계됐지만, 단순히 신호만 잡은 사례도 포함돼 있어 실제로 IMSI가 전송된 고객은 5561명으로 파악됐다.

IMSI 정보가 유출된 5561명에는 무단 소액결제 피해자로 KT가 집계한 278명이 포함돼 있다. 1인당 피해액은 54만원으로 추산됐다. KT 관계자는 "현재로서 소액결제 피해자가 더 나온다면 수십명 정도가 추가될 것으로 예상한다"고 말했다.

KT는 이처럼 IMSI 유출 사실을 인정했음에도 불법 펨토셀이 자사 네트워크에 어떻게 연동됐는지, 또 소액결제가 실제로 어떻게 가능했는지에 대해선 명쾌한 답을 내놓지 못하고 있다.

KT는 문제의 펨토셀이 과거 자사 네트워크에 등록된 적이 있었던 장비일 가능성을 높게 보고 있다. 과거 운용되던 장비가 철거 과정에서 ID는 삭제됐지만 폐기되지 않고 외부에 유출돼 도용됐을 수 있다는 추측이다. 불법 제조되거나 변작된 장비일 가능성도 배제하지 않고 있다.

구재형 KT 네트워크기술본부장은 "수사에 적극 공조하고 있으며 실물이 확보되면 정확한 과정을 알 수 있을 것"이라고 말했다.

소액결제가 가능했던 배경에 대해 업계에서는 해커가 IMSI 값 외에 어떤 경로로든 피해자의 이름과 주민등록번호 등 개인정보를 확보했을 것으로 추정한다. 어떤 인증 방식이든 상품권 소액결제를 위해서는 IMSI값만으로는 불가능하고 이름과 주민등록번호 등 개인정보를 입력해야 하기 때문이다.

구 본부장은 "(경위에 대해) 저희도 파악하지 못했다"면서 "이 정보들은 초소형 불법 기지국에서 유출될 수 없는 정보라 저희도 수사 결과를 기다리는 중"이라고 했다. 다만 그는 "IMSI만 기지국을 통과했기에 불법 복제가 필요한 인증 키값, IMEI 등은 이번에 절대 노출되지 않았다"고 덧붙였다.

KT는 범행에 내부 관계자가 동조한 정황은 확인되지 않았지만 수사 결과를 지켜볼 사안이라고 밝혔다. 또한 유심 관련 핵심 정보가 저장되는 홈가입자서버(HSS) 침해나 불법 기기 변경·복제폰 정황은 전혀 없다고 강조했다.

KT는 이용자가 입은 금전적 피해에 대해 100% 책임지고 신속한 피해 보상안을 마련하겠다고 밝혔다. 김 대표는 "관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취하고 피해 고객에게 100% 보상책을 강구하겠다"며 "통신사로서 의무와 역할을 다하겠다"고 덧붙였다.

또한 전날 과학기술정보통신부 브리핑에 참여해 개인정보 유출 정황이 없다고 단언한 점에 대해서도 사과했다.

KT는 이날 오후 개인정보 유출이 의심되는 이용자들에게 개인정보보호위 신고한 사실과 피해 사실 여부 조회 방법, 유심 교체 신청 및 보호서비스 가입 링크에 대해 문자메시지로 안내했다. 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심을 무료 교체하고 유심 보호 서비스를 제공할 방침이며, 충분한 유심 물량을 확보했다고 밝혔다.

KT 관계자는 "12일부터 소액결제 본인 인증에 생체 인증이 도입된 패스(PASS) 인증만 적용한다"며 "생체 인증을 기반으로 해 우려를 줄일 수 있다고 판단하고 있다"고 말했다.