[IT동아 김예지 기자] KT가 지난 8월부터 발생한 무단 소액결제 피해와 관련해 대규모 데이터 전수조사 결과를 10월 17일 개최한 기자 브리핑에서 발표했다. 이 사고는 중국인 피의자 2명이 불법 초소형 기지국(펨토셀)을 이용해 KT 이동통신망 고객의 휴대전화에서 소액결제 금액을 무단으로 갈취한 사건이다. 이 과정에서 일부 고객의 가입자 식별번호(IMSI), 단말기 식별번호(IMEI) 등 개인정보 유출 정황도 함께 확인됐다.
전수조사 대폭 확대, 총 368명 피해 확인
KT에 따르면, 지난 9월 대비 무단 소액결제 피해 고객은 6명 늘어난 총 368명(772건), 피해액은 약 2억 4000만 원으로 확인했다. 또한 불법 초소형 기지국 ID는 4개에서 16개가 추가돼 총 20개로 늘었다. 이에 접속 이력이 있어 개인정보 유출 정황을 가진 고객은 총 2만 2227명으로 집계됐다. 추가로 확인된 16개 불법 펨토셀 ID 중 1개에서도 무단 소액결제 의심 건이 발생한 것으로 파악됐다.
KT는 전수조사 기간의 확대에 따라 추가 피해 고객을 발견했다고 밝혔다. 당초 3개월에 한정했던 기간을 약 13개월(2024년 8월 1일~2025년 9월 10일)로 확대했다. 이를 통해 휴대전화와 기지국 간 4조 300억 건에 달하는 결제이력, 통화기록, 기지국 접속기록을 모두 조사했다. 조사 대상에는 소액결제 8400만 건과 DCB 결제(Direct Carrier Billing, 구글 플레이스토어, 애플 앱스토어 등 앱 마켓에서 이뤄지는 결제) 6300만 건이 포함됐다. ARS 결제 뿐만 아니라 SMS, PASS 인증을 통한 결제도 포함됐다.
KT는 모든 결제 발생 시간과 위치를 확인하고, 불법 펨토셀의 동선상 모든 결제를 추출하는 방식으로 추가 소액결제 피해를 확인했다. KT는 “관련 법령 및 규정에 의해 저장되고 있는 데이터 전부에 정교한 로직을 적용해 발견했다”며, “불법 펨토셀은 비정상적인 동작 패턴을 보인다. 임시 접속 수가 많고, 변동 폭이 심하다. 또한 오류 응답 메시지 건수가 비정상적으로 많이 발생한다”고 설명했다.
이번 전수조사를 통해 불법 펨토셀 접속을 통한 개인 정보 유출 정황의 최초 발생 시기는 지난해 10월로 드러났다. 또한 서울·경기·인천 지역을 비롯해 수도권과 가까운 강원 지역에서도 불법 펨토셀 접속 이력이 발견됐다. KT는 “새롭게 발견된 5번 펨토셀은 기존 4개의 펨토셀과 비슷했지만, 분석 기간을 늘리면서 탐지할 수 있었다”며, “현재 불법 펨토셀이 KT 망에 붙지 않도록 비인가 조치했다”고 밝혔다. 더불어 “모니터링 체계가 많이 부족했으나 이번 기회를 통해 모니터링 시스템을 잘 갖추고 실시간 파악하겠다”고 덧붙였다.
그러나 여전히 소액결제가 무단으로 이뤄진 방법은 명확히 규명되지 않았다. 외부 불법 펨토셀이 KT 망에 무단 접속해 일부 정보를 얻었다고 해도 범인이 소액 결제를 실행하기 위해 필요한 특정 개인정보를 어떻게 확보했는지 밝히지 못했다. 이에 대해 KT는 “아직 조사 결과가 나오지 않아 알 수 없다”는 입장을 고수하며, “실제 경찰이 불법 장비를 확보해 1차 포렌식을 마쳤으며, 2차 점검을 통해 추가 사실을 알 수 있을 것”이라고 말했다.
유심 교체 적극 안내…재발 방지 보완책 마련
KT는 이번 조사 결과를 개인정보보호위원회 등 관계 기관에 보완 신고했으며, 추가 피해가 확인된 고객에 대한 보호 조치 이행에 나섰다. 대규모 전수조사에 시간이 소요된 점에 대해 사과하며, 정부 조사 및 경찰 수사에 성실히 협조하겠다고 밝혔다.
재발 방지를 위한 기술·제도적 보완책 마련과 실질적인 고객 보호 조치에 끝까지 책임을 다하겠다는 방침이다. KT는 “이를 위해 피해 고객 보호를 위한 ‘안전안심 보험’을 9월 18일부터 시행 중”이며, “기존 피해자 약 2만 명은 별도 신청 없이 자동 가입되며, 추가로 확인된 고객들도 동일한 혜택을 소급 적용받는다”고 말했다.
또한 KT는 9월 26일부터 전국 2000여 개 매장을 ‘안전 안심 매장’으로 지정하고, 각 매장마다 전문 상담사를 배치했다고 밝혔다. 이곳에서는 악성 앱 검사, 피싱·해킹 보험 안내, 소액결제 피해 신고 절차 지원 등 보안 관련 서비스를 제공한다.
한편, KT는 “피해 보신 고객을 중심으로 계속 연락해 조치를 취하도록 하고 있다”고 말했다. 이어 “인증 키(Ki)가 유출되지는 않아 유심 복제 우려는 없지만, 불안함을 느끼는 피해 고객을 중심으로 유심 교체 및 유심 보호 서비스를 적극 안내하고 있다”고 덧붙였다.
IT동아 김예지 기자 (yj@itdonga.com)
![[파워UP!특가] 맥스엘리트 MAXWELL DUKE 1000W 80PLUS플래티넘 풀모듈러 ATX3.1 화이트](http://img.danawa.com/prod_img/500000/215/113/img/58113215_1.jpg?fitting=Large|140:105&crop=140:105;*,*)
