더트래커 = 김상년 기자
김영섭 KT 대표가 11일 최근 발생한 무단 소액결제 피해 사고 관련, 공식 사과하면서 고객 보호와 재발 방지를 위해 책임 있는 후속 조치를 다하겠다고 약속했다.
김 대표는 이날 기자회견을 열어 “최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과 드리고자 무거운 마음으로 이 자리에 섰다. 국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다”고 말했다.
김 대표는 “관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취하고 피해 고객에게 100% 보상책을 강구하겠다”며 “통신사로서 의무와 역할을 다하겠다”고 덧붙였다.
KT는 이날 이번 사태의 원인으로 지목된 불법 초소형 기지국(펨토셀)을 통해 이용자 5561명의 개인정보가 유출됐을 가능성을 확인하고 개인정보보호위원회에 신고했다고 밝혔다. 그동안 정보 해킹 정황은 없다고 밝혀왔는데, 정보 유출 가능성을 인정한 것이다.
KT는 자체 조사 결과 펨토셀을 통해 일부 이용자 가입자식별정보(IMSI)가 유출된 정황을 확인했다고 설명했다. IMSI는 가입자마다 부여된 고유 번호로 유심(USIM)에 저장되는 개인정보에 해당한다. 불법 초소형 기지국의 신호 수신 이력이 있는 이용자 중 IMSI 유출 가능성이 있는 것으로 확인된 경우가 5561명으로 파악됐다고 KT는 밝혔다.
KT는 이날 오후 해당 이용자에게 개인정보보호위 신고 사실과 피해 사실 여부 조회 방법, 유심 교체 신청 및 보호서비스 가입 링크에 대해 문자 메시지(SMS)로 안내했다.
KT는 또 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심을 무료 교체하고 유심 보호 서비스도 제공할 방침이다. KT는 유심 물량을 충분히 확보했고, 24시간 전담 고객센터(080-722-0100)를 개설했다고 밝혔다.
한편 KT측의 이같은 설명에도 불구하고 여러가지 의문점은 여전히 남는다.
실제 불법 소형 기지국을 통해 소액결제를 진행하려면 단순히 트래픽을 가로채는 것 외에 이름, 생년월일 등 개인정보를 입력하고 본인인증하는 절차를 거쳐야 하기 때문이다.
류제명 과기정통부 2차관도 전날 브리핑에서 "그런 의문점에 대한 답을 우리도 KT에 물어봤는데 명쾌한 원인분석이나 메커니즘에 대한 설명이 안 되고 있다"며 “여러 키값이나 인증 절차들이 있는데 이게 어떻게 소액결제까지 가능했는 지 조사가 진행돼봐야 알 것 같다”고 말했다.
그는 이어 "구체적인 상황에 대한 KT의 답변은 저희로서도 못 받았고 조사 과정에서 밝혀질 것"이라고 밝혔다.
이에 일각에서는 유심(USIM) 유출을 통한 가입자식별번호(IMSI)·키값 탈취 가능성을 거론한다. 그러나 KT 관계자는 "불법 무선 장치가 있었던 걸로 보여 유심 해킹과는 상관이 없다고 본다"고 선을 그었다.
불법 펨토셀의 접속 과정도 수수께끼다. KT는 자사가 운영하는 펨토셀이 해킹된 것은 아니며 정체불명의 펨토셀이 코어망에 붙은 것으로 파악하고 있다.
구재형 KT 네트워크기술본부장은 "관리시스템에 등록되지 않은 ID만 보였지 저희도 이 실체는 모르고 있다"며 "어떻게 연동됐는지는 합동 조사를 통해 확인하고 있고 기존 장비에는 전혀 이상이 없다"고 설명했다.
왜 KT에서만 이런 사건이 발생했는지도 미스테리다. 해킹 수법 등을 알 수 없어 아직 파악이 되지 않은 상황이다. 류 차관도 전날 브리핑에서 “답을 내놓기 어렵다”고 했다.
이에 따라 향후 당국의 조사 초점은 등록되지 않은 펨토셀이 어떻게 KT 핵심망에 접속했는지, 어떤 과정을 거쳐 소액결제가 이뤄졌는지, 그 과정에서 개인정보가 탈취됐는지 여부 등에 맞춰질 전망이다.