KT 무단 소액 결제 사태로 인해 인해 5561명의 개인정보가 유출된 것으로 나타났다. 해킹 사실을 부인하고 늑장대응으로 사태를 악화시킨 KT는 “고객 피해를 100% 보상하겠다”고 밝혔다.

김영섭 KT 대표이사가 11일 오후 서울 종로구 KT 광화문 West 사옥에서 소액결제 피해 관련 기자 브리핑에 앞서 고개숙여 사과를 하고 있다. 뉴스1

11일 KT는 기자간담회를 열고 “자체 조사 결과 불법 초소형 기지국을 통해 일부 고객 IMSI(가입자식별번호) 유출 정황을 확인해 개인정보보호위원회에 신고했다”고 밝혔다. IMSI는 유심(USIM·가입자 식별 모듈)에 저장되는 가입자 고유 번호로 개인정보에 해당한다. 김영섭 KT 대표는 “소액 결제 피해 사건으로 불안과 심려를 끼쳐 죄송하다”며 “회사와 임직원의 모든 역량을 투입해 추가 피해가 발생하지 않게 기술적 조치를 취했고, 피해 고객에는 100%의 보상책을 강구하고 조치하겠다”고 말했다.

KT는 올해 KT망 내 통신 이력을 조회한 결과 불법 초소형 기지국 2개의 흔적을 발견했다. 이 불법 기지국들에서 발생한 신호를 수신한 고객은 약 1만9000명이다. 이 가운데 5561명 고객의 IMSI가 유출된 정황이 확인됐다. 5561명 모두 4세대 이동통신인 LTE 고객이다. 구재형 KT네트워크기술본부장은 “5G(세대)는 IMSI가 암호화되서 노출되지 않았는데 LTE는 노출됐다”고 말했다.

KT가 불과 하루만에 입장을 바꾸면서 비판의 목소리가 커지고 있다. KT는 지난 9일 “개인정보 해킹 정황이 없다”는 공식 입장을 밝혔다. 10일 과학기술정보통신부 브리핑에서도 구재형 KT네트워크 기술본부장은 “유심 해킹과는 상관이 없다”고 말했다. KT는 최초 피해 신고(지난달 27일), 경찰 통보(1일) 이후에도 즉각적으로 조치를 취하지 않았다. ‘늑장 대응’ 지적이 나오는 이유다. KT는 개인정보 유출이 없다고 한 부분에 대해 이날 사과했다.

KT는 불법 신호를 수신한 고객 1만9000여명 전원을 대상으로 유심(USIM) 보호서비스 및 교체 서비스를 무료로 제공한다는 계획이다. 현재 피해 고객을 대상으로 개인정보보호위원회 신고 사실과 피해 사실 여부를 조회할 수 있는 기능, 유심 교체 및 교체서비스 가입 링크 등을 문자메시지로 안내한 상태다. ‘통신사 이동을 원하는 고객을 대상으로 위약금을 면제할 계획이 있는가’라는 질문에는 “그 부분도 포함해 고객 입장에서 전향적으로 검토하겠다”고 했다.

구재형 KT 네크워크기술본부장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 보안조치 강화에 대한 발표를 하고 있다. 뉴스1

KT는 12일부터 소액결제 본인 인증에 생체 인증이 도입된 패스(PASS) 인증만 적용한다. 또 무단 소액결제 탐지·차단 기능도 개발해 고객에게 적용할 계획이다.

관건은 추가적인 개인정보 유출 여부를 확인하는 것이다. IMSI 정보만으로는 소액결제가 불가능하기 때문에, 실제 어떤 데이터가 어떤 경로를 통해 소액결제에 악용됐는지 면밀한 조사가 필요하다. 통신업계 한 관계자는 “IMSI 데이터만 유출됐다 보기는 어렵다”며 “KT 내부에서도 아직 전체 상황을 파악하지 못했을 가능성이 높다”고 말했다. 현재 가짜 기지국의 유형과 비정상적인 접속 방식 등 사고 원인을 규명하기 위한 민관합동조사단의 조사와 경찰 수사가 동시에 진행되고 있다. 앞으로 추가 개인정보 유출 여부와 소액결제와의 인과관계 부분에 조사가 집중될 것으로 보인다.

KT 내부자의 소행인지도 밝혀야 할 지점이다. 일각에서 KT 내부에 불법 초소형 기지국이 설치됐을 가능성도 제기되고 있다. 구 본부장은 “통신과 관련해 상당한 지식이 있는 인물이라는 점은 유추할 수 있는데, 내부자 여부는 아직 확인되지 않았다”고 했다.