[서울=뉴스핌] 양태훈 기자 = KT가 최근 특정 지역에서 발생한 무단 소액결제 피해와 관련해 불법 초소형 기지국(일명 펨토셀)에서 비롯된 비정상 통신 흔적을 확인하고, 국제이동가입자식별번호(IMSI) 전송 정황이 있는 고객에게 일괄 보호조치를 시행하기로 했다. KT는 피해 건에 대해 금전적 피해 100% 보상은 물론, 위약금 면제와 무료 유심 교체, 유심 보호 서비스 가입까지 적극 지원하겠다는 방침을 밝혔다.

11일 김영섭 KT 대표는 이날 오후 서울 KT 광화문 West 사옥에서 열린 브리핑에서 "최근 특정 지역 일대에서 발생한 소액결제 피해 사건으로 큰 불안과 심려를 끼쳐 드린 점에 대해 깊이 사과드린다"며 "KT는 피해 고객에 대해 100% 보상하고, 관계기관과 함께 원인을 철저히 규명하겠다"고 말했다. 또 "이번 사태가 재발하지 않도록 방지책 마련에 만전을 기하겠다"며 "통신사로서의 의무와 역할도 다시 점검하겠다"고 전했다.

KT는 이날 브리핑에서 지난 1일부터 현재까지의 대응 경과와 피해 규모, 원인 추정, 고객 보호·보상 방안을 상세히 공개했다. KT에 따르면 KT는 지난 1일 수사기관으로부터 소액결제 피해 분석 의뢰를 받은 직후 스미싱 가능성 등을 포함해 여러 공격 경로를 검토했고, 지난 5일 새벽 비정상 결제 패턴을 확인한 뒤 즉시 차단·한도 축소 조치를 시행했다. 이어 지난 8일에는 한국인터넷진흥원(KISA)에 침해 사실을 신고했으며, 11일 개인정보보호위원회에 IMSI 유출 정황을 신고했다. 현재까지 KT가 확인한 피해 규모는 총 278건, 피해액은 약 1억 7000만 원에 달한다.

◆ KT, 불법 기지국 통한 고객 신호 유출 '5,561명' 파악

KT는 이날 네트워크 분석 결과도 공개했다. 구재형 KT 네트워크기술본부장은 "9월 1일부터 4일 사이 광명 일대에 피해가 집중 발생했고, 지난 4일 언론 보도 이후 고객의견(VOC) 분석을 본격화했다"면서 "지난 5일 새벽 비정상 소액결제 '호 처리' 패턴을 확인해 오전 3시께 네트워크 말단에 차단을 적용했고, 지난 6일에는 자동화 시스템을 추가 적용했다"고 설명했다.

이어 "과금 데이터(CDR) 역추적 과정에서 KT의 초소형 기지국 ID 체계를 따르지만 회사의 관리시스템에는 존재하지 않는 셀 2개가 확인됐다"며 "이에 미등록 초소형 기지국의 망 접속을 원천 차단했고, 과기정통부 권고에 따라 신규 등록도 중단했다"고 전했다.

나아가 "VOC 기반 통신 이력 전수분석 결과, 불법 초소형 기지국 2개의 신호를 수신한 고객은 1만 9,000명, 이 가운데 단말에서 IMSI를 기지국에 전송한 정황이 있는 고객이 5,561명으로 확인됐다"며 "전날 과학기술정보통신부 브리핑에서 유출 정황이 없다고 답했는데, 분석이 진행 중인 상황에서 불확실한 답변을 드린 점 사과드린다"고 덧붙였다.

다만 구 본부장은 "이번 사안은 LTE 구간에서 발생, 5G는 SUCI라는 가상 식별자를 사용해 IMSI 노출을 구조적으로 방지한다"며 "복제폰 정황이나 가입자 관리 서버(Home Subscriber Server, HSS) 등 코어 시스템 해킹 징후는 확인되지 않았다"고 강조했다. 

◆ "소액결제 피해 전액 보상·위약금 면제도 지원할 것"

KT는 무단 소액결제 피해 보상과 관련해 책임 있는 조치를 약속했다. 김영걸 KT 서비스·프로덕트본부장은 "금전적 피해는 KT가 100% 책임지겠다"며 "위약금 면제 등 전향적인 보상 방안을 포함해 신속히 확정·안내하겠다"고 밝혔다.

김 본부장은"개인정보 유출 피해에 대한 위자료 등 추가 보상 여부에 대해서도 여러 가능성을 심도 있게 검토하고 있다"며 "고객 불편을 최소화하고 피해를 빠짐없이 보상하기 위해 청구 취소, 소액결제 한도 축소, 상품권 결제 차단 등 선제 조치를 이미 시행하고 있다"고 강조했다.

구체적으로 KT는 이번 피해와 관련해 핵심 고객 케어 방안으로 24시간 전담센터 운영, PASS 기반 생체인증 도입, 피해 고객 전원 무료 유심 교체·보호 서비스를 지원하고 있다. 소액결제 기본 한도 축소·원천 차단·추가 비밀번호 설정 등 위험 최소화 조치도 안내 중이다.

김 본부장은 "고객 불안을 최소화하기 위해 5,561명 IMSI 전송 정황 고객과 신호 수신 고객 1만 9,000명 전원에게 무료 유심 교체 및 유심 보호 서비스를 제공 중이며, 대상 여부는 KT 대리점·플라자, 고객센터, KT닷컴에서 확인할 수 있다"며 "내일(12일) 오전 11시부터는 비로그인 상태에서도 확인 가능한 별도 페이지도 운영할 예정"이라고 전했다.

나아가 "신호 수신 고객 1만 9,000명 중 ARS 인증이 발생한 고객도 전수 조회해 피해 고객 278명을 특정했다"며 "아직 출금되지 않은 건은 선제적으로 취소했고, 추가 소액결제 유형도 전수 점검 중"이라고 덧붙였다.

◆ 무단 소액결제 피해 원인? "불법 초소형 기지국만으로 설명이 안돼"

KT는 이번 사태와 관련해 코어 해킹이나 복제폰 정황은 없다고 선을 그었다. 복제폰이 작동하려면 단말기 식별번호(IMEI)나 인증키 등 핵심 정보가 필요한데, 이번 사건에서는 그런 유출이 확인되지 않았다는 설명이다. 다만 불법 초소형 기지국이 통신망 말단에 접속했거나, 과거 등록된 장비 ID가 외부에서 재활용됐을 가능성은 열어 두었다.

구 본부장은 "5G는 가명 식별자(Subscriber Concealed Identifier, SUCI) 라는 가상 식별자를 사용해 IMSI가 외부로 노출되지 않는다"며 "이번 사안은 LTE에서, 단말이 전원을 껐다 켤 때 등 최초 위치등록 과정에서 IMSI가 전송되는 구간과 연관돼 있다"고 설명했다.

또 "이후에는 GUTI(Globally Unique Temporary Identifier)라는 임시 식별자를 사용하기 때문에 전체 1만 9,000명 중 실제 IMSI 전송 정황이 확인된 건 5,561명에 불과하다"며 "다만 ARS 인증 경로와의 직접적 연관성은 불분명하다. 불법 초소형 기지국만으로는 설명되지 않는 영역이 있으며, 이름·생년월일 등 추가 정보가 결합됐을 가능성이 있어 경찰 수사를 통해 확인해야 한다"고 덧붙였다.

KT는 서버 폐기 의혹과 관련해서도 해명했다. 황태선 KT 정보보안실장은 "문제의 서버는 원격상담 유도 웹페이지로, 고객정보를 저장하지 않았다"며 "일부 보도에 언급된 인증서는 서버 신뢰성·트래픽 암호화를 위한 SSL(Secure Sockets Layer) 인증서였으나 이미 2022년에 만료된 상태였다"고 설명했다.

이어 "클라우드 전환 계획에 따라 지난 3월과 7월에 병행 운영을 했고, 올해 8월부터는 본격 전환을 추진했지만, 한국인터넷진흥원(KISA) 점검 요청 회신 이후 추가 가이드가 없는 상태에서 가상머신(VM) 삭제가 이뤄진 것은 판단 미스였다"며 "향후 서버 폐기 절차의 투명성을 보완하겠다"고 밝혔다.

dconnect@newspim.com