KT 무단 소액결제 사태로 인해 5561명의 개인정보가 유출된 것으로 나타났다. 해킹 사실을 부인하고 늑장 대응으로 사태를 악화시킨 KT는 “고객 피해를 100% 보상하겠다”고 밝혔다. 추가 개인정보 유출 가능성도 제기된다.

11일 KT는 기자간담회를 열고 “자체 조사 결과 불법 초소형 기지국을 통한 일부 고객 IMSI(가입자 식별번호) 유출 정황을 확인해 개인정보보호위원회에 신고했다”고 밝혔다. IMSI는 유심(USIM·가입자 식별 모듈)에 저장되는 가입자 고유번호로 개인정보에 해당한다. 김영섭 KT 대표는 “소액결제 피해 사건으로 불안과 심려를 끼쳐 죄송하다”며 “추가 피해가 발생하지 않게 기술적 조치를 취했고, 피해 고객에게는 100% 보상책을 강구하고 조치하겠다”고 말했다.

KT는 올해 KT망 내 통신 이력을 조회한 결과 불법 초소형 기지국 2개의 흔적을 발견했다. 이 불법 기지국들에서 발생한 신호를 수신한 고객은 약 1만9000명이다. 이 가운데 5561명의 IMSI가 유출된 정황이 확인됐다. 이들은 모두 4G(세대) 이동통신인 LTE 이용자다. 구재형 KT 네트워크기술본부장은 “5G는 IMSI가 암호화돼 노출되지 않았는데 LTE는 노출됐다”고 말했다.

해킹 사실을 부인했던 KT가 입장을 번복하면서 비판의 목소리가 커지고 있다. KT는 지난 9일 “개인정보 해킹 정황이 없다”는 공식 입장을 밝혔다. 10일 과학기술정보통신부 브리핑에서도 구재형 본부장은 “유심 해킹과는 상관이 없다”고 말했다. KT는 최초 피해 신고(지난달 27일), 경찰 통보(1일) 이후에도 즉각적으로 조치를 취하지 않았다. 늑장 대응 지적이 나오는 이유다. KT는 개인정보 유출이 없다고 한 부분에 대해 이날 사과했다.

KT는 대책으로 불법 신호를 수신한 고객 1만9000여 명 전원을 대상으로 USIM 보호서비스 및 교체 서비스를 무료로 제공한다는 계획을 밝혔다. KT 측은 ‘통신사 이동을 원하는 고객을 대상으로 위약금을 면제할 계획이 있는가’라는 질문에는 “그 부분도 포함해 고객 입장에서 전향적으로 검토하겠다”고 답했다.

앞으로의 관건은 추가적인 개인정보 유출 여부를 확인하는 것이다. IMSI 정보만으로는 소액결제가 불가능하기 때문에, 실제 어떤 데이터가 어떤 경로를 통해 소액결제에 악용됐는지 면밀한 조사가 필요하다. 이날 국회 과학기술정보방송통신위원회 전체회의에서 “IMSI 정보만으로는 해킹이 일어나지 않는데 이름, 생년월일 등 해커가 갖고 있는 거 아니냐”는 노종면 더불어민주당 의원의 질의에 배경훈 과기정통부 장관은 “그렇게 추정된다”고 답했다.

현재 가짜 기지국의 유형과 비정상적인 접속 방식 등 사고 원인을 규명하기 위한 민관합동조사단의 조사와 경찰 수사가 동시에 진행되고 있다. 경찰은 사건 초기부터 일정 지역에 피해자가 모여 있다는 점을 근거로 불법 기지국의 일종인 펨토셀을 통한 범행 가능성을 들여다보고 있다. 피해 지역이 계속해서 움직인 정황을 감안하면 이번 범행에 ‘워 드라이빙(war driving)’ 수법이 쓰였을 가능성도 나온다. 워 드라이빙은 펨토셀 같은 불법 기지국 장비를 차량에 싣고 이동하며 취약한 정보통신망에 무단으로 접속하는 수법이다.