사과문 발표하는 김영섭 KT 사장
김영섭 KT 사장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 사과문을 발표하고 있다.사진=연합뉴스

케이티(KT)는 11일 최근 발생한 무단 소액결제 사태와 관련해 고객들에게 공식 사과하고, 일부 이용자의 가입자식별정보(IMSI, International Mobile Subscriber Identity) 유출 사실을 인정했다.

그러나 불법 초소형 기지국(펨토셀, femtocell)이 케이티(KT)의 네트워크(network)에 어떻게 접속했으며, 소액결제가 어떻게 가능했는지 등에 대해서는 명확한 해명을 제시하지 못했다.

케이티(KT)에 따르면, 케이티(KT)는 지난 1일 수사기관으로부터 소액결제 피해 분석을 의뢰받았다.

당시 케이티(KT)는 일반적인 스미싱(smishing) 가능성이 크다고 보고 즉각 대응하지 않았다.

그러나 4일 특정 지역에서 피해가 집중되고 언론 보도가 이어지자 사안을 재분석했고, 결제 이력에서 비정상적인 패턴(pattern)을 확인했다.

이에 케이티(KT)는 5일 새벽부터 비정상 결제를 차단하고 소액결제 한도를 축소하는 등의 조치를 시행했으며, 이후 추가 피해는 발생하지 않았다고 밝혔다.

보안조치 강화 발표하는 구재형 KT 네크워크기술본부장
구재형 KT 네크워크기술본부장이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 보안조치 강화에 대해 발표하고 있다.사진=연합뉴스

케이티(KT)는 이후 일부 피해 고객의 과금 데이터(data)를 분석하는 과정에서 이들이 특정 기지국에 접속한 사실을 확인했는데, 해당 기지국은 케이티(KT)의 초소형 기지국 체계를 따랐지만 케이티(KT)의 관리망에는 등록되지 않은 불법 기지국이었다.

케이티(KT)는 지난 8일 미상의 불법 초소형 기지국 존재와 관련해 한국인터넷진흥원(KISA, Korea Internet Security Agency)에 침해 사실을 신고하고 신규 초소형 기지국 등록을 중단 조치했다.

이날 케이티(KT)는 불법 초소형 기지국을 통해 고객 5천561명의 가입자식별정보(IMSI)가 유출된 정황이 확인돼 개인정보보호위원회에 유출 신고를 마쳤다고 설명했다.

불과 하루 전까지 개인정보 유출은 없다고 단언했던 케이티(KT)의 입장이 하루 만에 바뀐 셈이다.

케이티(KT)는 민원 제기자 6명의 1년 치 통신 기록을 분석한 결과 하나의 불법 펨토셀 아이디(ID)를 확인했으며, 다른 고객들의 이력을 조회하는 과정에서 또 다른 불법 펨토셀의 아이디도 발견했다고 설명했다.

불법 펨토셀로부터 신호를 수신한 고객은 약 1만9천명으로 집계됐지만, 단순히 신호만 잡은 사례도 포함되어 실제로 가입자식별정보(IMSI)가 전송된 고객은 5천561명으로 파악됐다.

케이티(KT)가 가입자식별정보(IMSI) 유출 사실을 인정했음에도 불구하고, 불법 초소형 기지국(펨토셀)이 케이티(KT)의 네트워크(network)에 어떻게 연동됐는지, 또 소액결제가 실제로 어떻게 가능했는지는 케이티(KT)도 명쾌한 답을 내놓지 못하고 있어 여전히 의문으로 남는다.

케이티(KT)는 문제의 펨토셀이 과거 케이티(KT)의 네트워크(network)에 등록된 적이 있었던 장비일 가능성을 높게 보고 있다.

과거 운용되던 장비가 철거 과정에서 아이디(ID)는 삭제됐지만 폐기되지 않고 외부에 유출돼 도용됐을 수 있다는 추측이다.

불법 제조되거나 변작된 장비일 가능성도 배제하지 않는다.

구재형 케이티(KT) 네트워크기술본부장은 수사기관에 적극 공조하고 있으며 실물이 확보되면 정확한 과정을 알 수 있을 것이라고 말했다.

소액결제가 가능했던 배경에 대해 업계에서는 해커(hacker)가 가입자식별정보(IMSI) 외에 어떤 경로로든 피해자의 이름과 주민등록번호 등 개인정보를 확보했을 것으로 추정한다.

어떤 인증 방식이든 상품권 소액결제를 위해서는 가입자식별정보(IMSI)만으로는 불가능하며 이름과 주민등록번호 등 개인정보를 입력해야 하기 때문이다.

구재형 본부장은 경위에 대해 자신들도 파악하지 못했으며, 이 정보들은 초소형 불법 기지국에서 유출될 수 없는 정보라 수사 결과를 기다리는 중이라고 전했다.

다만 그는 가입자식별정보(IMSI)만 기지국을 통과했기에 불법 복제가 필요한 인증 키값, 고유 식별 번호(IMEI, International Mobile Equipment Identity) 등은 이번에 절대 노출되지 않았다고 덧붙였다.

이에 다크웹(dark web)에서 확보한 개인정보를 펨토셀에서 빼낸 가입자식별정보(IMSI)와 결합했을 가능성, 혹은 펨토셀이 아닌 다른 경로에서 정보가 유출됐을 가능성 등 다양한 추정이 제기되는 상황이다.