KT 무단 소액결제 및 개인정보 유출 사건 브리핑

 KT 무단 소액결제 및 개인정보 유출 사건 브리핑

1. 사건 개요 및 경과

최근 KT 가입자들을 대상으로 발생한 '의문의 무단 소액 결제' 사태가 새로운 국면을 맞이했습니다. 초기 "개인 정보 유출은 없다"고 주장했던 KT는 하루 만에 입장을 번복, 5,561명의 IMSI(가입자식별번호)가 유출되었을 가능성을 확인하고 개인정보보호위원회에 신고했습니다. 이 사건으로 김영섭 KT 대표는 대국민 사과를 발표했으며, 이재명 대통령과 과학기술정보통신부 장관도 문제의 심각성을 지적하며 철저한 조사를 촉구하고 있습니다.

KT 무단 소액결제 및 개인정보 유출 사건 브리핑

 

주요 시점:

• 9월 1일: 경찰, KT에 소액결제 피해 분석 의뢰
• 9월 5일 새벽 3시: KT, 비정상적인 소액결제 시도 차단
• 9월 10일: 과학기술정보통신부 브리핑에서 "IMSI 유출 관련한 내용은 전혀 없다"고 발표
• 9월 11일: KT, "불법 초소형 기지국(펨토셀)을 통해 이용자 5,561명의 IMSI 정보가 유출됐을 가능성을 확인"하고 개인정보보호위원회에 신고. 김영섭 KT 대표 대국민 사과.

2. 주요 피해 현황 및 개인정보 유출

2.1. 소액결제 피해

• 현재까지 확인된 소액결제 피해 건수는 278건, 피해 금액은 1억 7천만원입니다. (머니투데이, 매일경제)
• 피해자들은 주로 상품권 구매 등 소액 결제를 통해 금전적 손해를 입었으며, 교통카드 등 다른 소액 결제를 통한 추가 피해자도 발생할 가능성이 있습니다. KT는 "수십 명이 증가할 것으로 보고 있다"고 밝혔습니다. (한국일보)
• KT는 피해 고객에게 100% 보상을 약속했습니다. (한국일보, 머니투데이, 매일경제, 뉴시스)

2.2. IMSI 유출

• 5,561명의 가입자식별번호(IMSI) 유출 가능성이 확인되었습니다. IMSI는 "가입자마다 갖는 고유 번호로 유심에 담긴 개인 정보"입니다. (한국일보, 머니투데이, 매일경제, 헤럴드경제, 뉴시스)
• 불법 펨토셀의 신호를 받은 적이 있는 가입자는 총 1만 9천여 명이며, 이 중 "불법 펨토셀의 신호가 닿는 구역에서 꺼져 있던 휴대폰 전원을 켠 5,561명이 IMSI 유출 피해를 봤을 가능성"이 있습니다. (한국일보)
• KT는 유출 가능성이 있는 5,561명과 불법 펨토셀 신호 수신 이력이 있는 1만 9천명 전원에게 무료 유심(USIM) 교체 및 유심 보호 서비스 가입을 지원하고 있습니다. (한국일보, 머니투데이, 매일경제, 헤럴드경제, 뉴시스)
• KT는 IMSI 외에 단말기식별번호(IMEI)나 인증키 등 "다른 유심 정보와 개인정보는 빠져나가지 않았다"고 주장하고 있으나, 과기정통부 장관은 "IMSI 뿐만 아니라 더 많은 고객 정보를 해커가 갖고 있는 것 아닌가"라는 질문에 "그렇게 추정된다"고 답해 추가 유출 가능성을 시사했습니다. (머니투데이, 한국일보)

3. 범행 수법 및 원인 분석

3.1. 불법 초소형 기지국(펨토셀) 악용

• 이번 사건의 원인으로 불법 초소형 기지국(펨토셀) 이 지목되었습니다. 펨토셀은 "반경 10m 정도 영역에서 이동통신 신호를 증폭, 확장해 주는 일종의 소형 기지국"으로, 주로 신호 음영 지역에 설치됩니다. (매일경제, 뉴스1)
• 해커는 불법 펨토셀을 통해 KT 망에 접속하는 이용자들의 통신 신호를 탈취하고, "휴대폰 전원이 켜질 때만 서버로 보내지는" IMSI 정보를 가로챈 것으로 보입니다. (한국일보)
• KT는 자체 파악한 불법 펨토셀이 2개이며, 이 기지국들은 6월 26일부터 가동되었고 9월 5일 새벽 3시에 차단되었습니다. (뉴시스, 매일경제)

3.2. 범행 수법에 대한 의문점

• '워 드라이빙' 가능성 제기: 경기 광명과 서울 금천구 등 인접 지역에 피해가 집중된 점으로 미루어, 범인이 "차량에 펨토셀을 싣고 다니며 네트워크를 가로채는 이른바 '워 드라이빙' 수법을 활용했을 가능성"이 제기됩니다. (연합뉴스)
• 소액결제 방식의 미궁: IMSI만으로는 소액결제가 불가능하며, "성명·생년월일 등 추가 정보"와 ARS 인증이 필요합니다. KT는 "범인이 어떻게 ARS 인증을 했는지 해석되지 않는 게 사실"이라며, IMSI 유출과는 별개의 문제로 보고 경찰 수사에 협조하고 있습니다. (머니투데이, 뉴시스, 매일경제)
• KT 내부자 또는 협력업체 관계자 개입 가능성: 범행에 사용된 불법 펨토셀이 "기존에 KT 망에 연결된 적이 있는 장비로 보이며", "인증 과정에서 KT가 사용하는 초소형 기지국의 일부를 불법 취득해 개조했거나 특정 시스템을 만들어 초소형 기지국 일부를 떼서 옮긴 걸로 추정"됩니다. KT는 "내부 직원이라는 점은 확인되지 않았다"면서도 "통신 관련해 상당한 지식이 있다는 정도는 유추할 수 있다"고 언급해 내부자 개입 가능성을 완전히 부정하지 못했습니다. (한국일보, 머니투데이, 뉴스1)
• KT만의 취약점: 통신 3사 중 KT만 소액결제 해킹이 발생한 원인으로 "보안에 취약한 문자메시지(SMS) 전송 방식과 초소형 기지국(펨토셀) 의존 때문"이라는 분석이 나옵니다. "KT는 초소형 기지국인 펨토셀까지는 암호화돼서 정보가 들어오지만, 펨토셀 내부에서는 이 암호가 풀려 코어망으로 들어가는 구조"로 알려져 있어 펨토셀 해킹 시 정보 탈취가 용이합니다. 또한, "통신 3사 중 KT가 펨토셀을 가장 많이 운영하고 있어서다." (조선비즈, 뉴스1)

4. KT의 대응 및 정부 입장

4.1. KT의 조치:

• 대국민 사과: 김영섭 KT 대표는 "국민과 고객, 유관 기관에 염려를 끼쳐드려 정말 죄송하다"며 사과했습니다. (한국일보, 머니투데이, 매일경제)
• 보상 및 예방책: 피해 고객에 대한 100% 보상, 무료 유심 교체, 유심 보호 서비스 가입 지원을 약속했습니다. 또한, 이용 계약 해지 시 위약금 면제 방안을 검토 중입니다. (한국일보, 머니투데이, 매일경제, 무단 결제되고)
• 보안 강화: 9월 12일부터 상품권 소액결제 시 본인 인증 수단을 '패스(PASS)' 앱으로 일원화하고, 유사 소액결제 탐지·차단 서비스를 개발·적용할 예정입니다. (연합뉴스, 머니투데이, 무단 결제되고)
• 추가 대응: 24시간 전담 고객센터를 운영하여 개인정보 악용 의심 신고 및 피해 접수를 받고 있으며, 비정상 결제 자동 차단 및 모니터링을 강화하고 있습니다. (헤럴드경제, 매일경제)
• 조사 협력: 관계 당국 및 경찰과의 적극적인 협조를 통해 사고 원인을 철저히 규명하고 재발 방지책 마련에 만전을 기하겠다고 밝혔습니다. (한국일보, 헤럴드경제)

4.2. 정부입장

• 대통령실: "전모를 속히 확인하고 추가 피해 방지에 적극적으로 나서야겠다"며, "기업은 보안 투자를 혹시 불필요한 비용이라고 생각하진 않는지 되돌아봐야 할 것"이라고 지적했습니다. 또한 "사건의 은폐·축소 의혹도 제기되는데 이 또한 분명히 밝혀서 책임을 명확히 물어야 한다"고 강조했습니다. (한국일보)
• 과학기술정보통신부: "초동 대응이 늦었다는 점은 반성하고 있다"고 인정하며, "IMSI 뿐만 아니라 더 많은 고객 정보를 해커가 갖고 있는 것 아닌가"라고 추정했습니다. 또한 "사고 때뿐만 아니라 평소에도 보안을 기업 경영의 최우선 가치로 삼아야 한다"고 강조했습니다. (한국일보, 매일경제)

5. 고객 보호 및 예방 조치 (사용자 측면)

• 소액결제 내역 확인: 이동통신회사 고객센터(114) 또는 애플리케이션을 통해 최근 소액결제 내역을 주기적으로 확인해야 합니다.
• 소액결제 한도 축소 또는 서비스 차단: 가장 확실한 예방법으로, 휴대폰 소액결제 이용 한도를 하향하거나 서비스를 완전히 차단하는 것이 권장됩니다. KT는 9월 17일부터 앱에서도 서비스 차단·해제가 가능하도록 기능을 도입할 예정입니다. 
• 추가 보안 설정: 고객센터에 ARS 안심인증을 신청하여 결제 시 추가적인 본인 확인 절차를 거치도록 할 수 있습니다. 
• 스미싱 주의: 환불이나 보상을 미끼로 하는 출처 불명의 URL이 포함된 문자 메시지는 클릭하지 말고 삭제해야 합니다.
• 피해 신고: 무단 소액결제 내역 발견 시 즉시 이통사 또는 결제대행사에 알리고, 경찰서에 신고해야 합니다.

6. 결론 및 향후 전망

이번 KT 무단 소액결제 및 IMSI 유출 사건은 통신 인프라 보안의 구조적 취약성과 통신사의 늦장 대응에 대한 비판을 불러일으키고 있습니다. IMSI 유출만으로 소액결제가 불가능하다는 점에서 추가적인 정보 유출이나 복잡한 범행 수법에 대한 의문이 남아있으며, 이에 대한 철저한 수사와 규명이 시급합니다.

KT는 대국민 사과와 함께 보상 및 보안 강화 조치를 발표했으나, 신뢰 회복까지는 상당한 노력이 필요할 것으로 보입니다. 정부 또한 통신 3사에 대한 조사를 확대하고 보안 강화 및 이용자 보호에 대한 책임을 강조하고 있어, 향후 통신업계 전반의 보안 시스템 개선이 이루어질 것으로 예상됩니다.