개인정보 해킹 없다더니… KT 5561명 ‘유심 정보’ 유출 가능성

“불법 초소형 기지국 2곳 확인… 신호 수신 이력땐 유심 무료 교체”
고객 “복제폰 우려” KT “불가능”
李대통령 “일부 은폐 의혹 제기… 전모 밝히고 명확히 책임 물어야”

김영섭 KT 대표이사가 11일 서울 종로구 KT 광화문빌딩 사옥에서 무단 소액결제 사고 관련 브리핑에 앞서 고개 숙여 사과하고 있다. 뉴시스

KT 이용자 5000여 명의 유심(USIM) 정보가 불법 초소형 기지국을 통해 유출됐을 가능성이 있는 것으로 확인됐다. 김영섭 KT 대표가 직접 브리핑에 나서 고개 숙여 사과했지만, “개인정보 해킹 정황은 없다”고 정보 유출 가능성을 부인하며 늑장 대응을 했던 KT를 향한 비판론이 나오고 있다.

11일 KT는 최근 발생한 무단 소액결제 사고를 자체 조사한 결과, 불법 초소형 기지국 접속으로 인해 가입자 5561명의 가입자식별번호(IMSI)가 유출됐을 가능성을 확인하고 이를 개인정보보호위원회에 신고했다고 밝혔다. IMSI는 유심에 저장된 고유식별번호로, 국가코드·통신사코드·개인고유번호(전화번호)로 구성되는 개인정보에 해당된다.

크게보기

KT에 따르면 확인된 불법 초소형 기지국은 두 개로, 이들 불법 초소형 기지국 신호를 수신한 고객은 1만9000여 명이다. 이 중 5561명의 휴대전화 단말기에서 IMSI 신호가 불법 기지국을 통해 KT 기지국으로 전달됐다. KT는 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원에게 무료 유심 교체와 유심 보호 서비스 가입을 지원할 예정이다.

현재까지 확인된 소액결제 피해자는 278명(1억7000만 원)이지만 KT는 피해자 규모가 수십 명 정도 증가할 수도 있다고 내다보고 있다. KT 측은 “소액결제 피해자에게 연락을 취해 상황을 안내할 예정”이라며 “금전 피해가 100% 없도록 선조치할 것”이라고 밝혔다.

그러나 이용자들의 불안은 여전하다. ‘불법 초소형 기지국’을 이용하는 등 전례 없는 방식으로 해킹이 이뤄진 데다, 이름이나 생년월일 등의 정보가 필요한 소액결제 인증이 어떻게 가능했는지 등 불명확한 부분이 많아서다. KT는 해킹된 초소형 기지국과 관련해 “불법적으로 개조됐거나 KT 망에 연동됐던 장비였다고 추정하고 있다”며 “수사에 적극 공조하고 있고, 실물이 확보되면 정확한 과정을 알 수 있을 것”이라고 말했다.

크게보기

5000여 명의 IMSI 값이 유출된 정황이 있다는 KT의 발표에 고객들은 복제폰 개설 가능성도 우려하고 있다. 이에 KT는 “개인 인증키 값이 보관된 핵심인증서버(HSS)에는 해킹 이력이 없다”며 복제폰 개설은 불가능하다고 설명했다. 복제폰을 만들기 위해서는 소유자 및 개인고유번호(전화번호), IMSI 값과 개인 인증키가 필요하다. IMSI 값은 현재 유력한 해킹 경로로 거론되는 불법 초소형 기지국에서 유출될 수 있지만 개인 인증키는 HSS 서버에서 빼내야 한다. 그러나 배경훈 과학기술정보통신부 장관은 이날 국회에 출석해 “(IMSI 외 다른 개인정보를) 범인이 가지고 있을 것으로 추정된다”고 말했다.

한편 “개인정보 해킹은 없다”고 장담하더니 상반된 결과를 공개한 KT에 책임을 묻는 목소리도 커지고 있다. 앞서 KT는 경찰이 소액결제 피해 사실이 발생하고 있다는 사실을 알린 지 나흘이 지나서야 비정상적인 소액결제 시도를 차단해 늑장 대응으로 피해를 키웠다는 비판도 받았다.

대통령실에서도 이번 사안을 심각하게 보고 있다. 이날 이재명 대통령은 용산 대통령실에서 주재한 수석보좌관회의에서 “한 통신사에서 소액결제 해킹 사건이 계속 발생하고 있다”며 “전모를 속히 확인하고 추가 피해 방지에 적극적으로 나서야 되겠다”고 지시했다. 이어 “일부에서 사건의 은폐 축소 의혹도 제기되고 있는데, 이 또한 분명히 밝혀서 책임을 명확하게 물어야 되겠다”고 했다.

개인정보보호위는 “구체적인 유출 경위와 피해 규모, KT의 안전조치 의무 준수 여부 등을 점검할 예정”이라며 “법 위반이 확인되면 관련 법령에 따라 과징금 부과 등 행정처분을 내릴 계획”이라고 설명했다. 앞서 SK텔레콤 유심 해킹 사태에 개인정보위는 약 1348억 원의 과징금을 부과한 바 있다.