13개월 전수조사 끝에 불법 ID 16개 추가 발견…신규 피해자도 확인
KT "이번 달 내 보안 기능 완비"…비인가 장비 접속 원천 차단
"서버 폐기 의도 없어"…백업 데이터 경찰 제출로 의혹도 해명
[서울=뉴스핌] 양태훈 기자 = KT가 불법 기지국을 통한 소액결제 피해 전수조사 결과를 발표했다. 기존 4개로 알려졌던 불법 기지국은 20개로 늘었고, 접속 피해자는 2만 2000여 명, 소액결제 피해자는 368명으로 확인됐다. KT는 추후 민관합동조사단의 조사 결과가 나오는 대로 최대한 투명하게 관련 정보를 공개하겠다고 밝혔다.
17일 KT는 서울 종로구 광화문 웨스트 사옥에서 '소액결제 피해 관련 브리핑'을 열고 이 같은 내용의 전수조사 결과를 발표했다. KT는 당초 3개월(2025년 6월부터 9월까지)을 기준으로 했던 조사 기간을 2024년 8월 1일부터 2025년 9월 10일까지 약 13개월로 확대하고, 이 기간 4조건 이상의 기지국 접속 기록과 1억 5000만 건의 통신과금대행(DCB 포함) 결제 데이터를 전수 분석했다.
전수조사는 불법 기지국 탐지 로직을 정교화하는 방식으로 진행됐다. KT는 정상 펨토셀과 달리 비정상적인 동작 패턴을 보이는 장비를 중심으로 이상 징후를 탐지하고 ▲단시간 접속자 수 급증 ▲오류 응답 메시지 빈발 ▲단기·비정기적 작동 등 세 가지 유형을 기준으로 전수 매핑을 실시했다.
이 과정에서 기존 4개였던 불법 기지국 ID가 20개로 늘어났다. 기존 분석에서 확인되지 않았던 신규 결제 피해자 6명과 개인정보 유출 정황이 있는 고객 2197명도 추가로 확인됐다.
이세정 KT 디시전인텔리전스랩장은 "PASS 인증 과정에서 발생한 트래픽과 기지국 간 통신 데이터를 전수 매칭해 불법 셀을 추적했다"며 "특정 시간대에 단기 가동 후 사라지는 형태의 위장 기지국 패턴이 추가로 발견됐다"고 설명했다.
KT는 결제 피해 분석 시 불법 기지국의 동선(위치·시간 정보)과 결제 발생 위치·시각을 매칭해 이상 거래를 추출했다. PASS·SMS·ARS 등 모든 인증 방식을 포함해 조사를 진행했다.
서창석 KT 네트워크부문장은 "불법 기지국 ID는 기존 4개에서 20개로 확대됐으며, 접속자 수는 약 2만 2227명으로 확인됐다"며 "소액결제 피해자는 6명 증가한 368명으로, 총 777건의 결제가 확인됐다"고 밝혔다.
이어 "전체 휴대폰 기지국 접속 기록 약 4조 300여 건의 데이터를 기반으로 탐지를 진행했다"며 "정부 조사와 경찰 수사에 적극 협조하고, 고객 보호 및 재발 방지 대책에 최선을 다하겠다"고 말했다.
KT에 따르면 불법 기지국 접속 피해자는 전국적으로 확인됐으며, 서울·경기·인천 지역에 집중됐다. 수도권 인접 지역인 강원에서도 일부 접속 이력이 발견됐으나 추가 결제 피해는 없었다. 신규 결제 피해는 안양 지역에서 발생했다.
KT는 불법 기지국의 최초 피해 시점을 지난해 10월로 파악했다. 다만, 지난 9월 5일 접속 차단 조치 이후 추가 피해는 발생하지 않은 것으로 나타났다.
개인정보 유출 정황은 기존보다 2197명이 늘어난 2만 2227명으로 확인됐다. 유출된 정보에는 휴대전화 번호, 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI)가 포함됐다. KT는 해당 고객에게 개별 통지를 진행 중이며, 개인정보보호위원회에도 관련 사실을 보고했다.
다만, 이세정 랩장은 "(개인정보) 유출이 확정된 것은 아니다"라며 "불법 기지국 표준 신호 처리 과정에서 일부 데이터가 외부로 전송됐을 가능성이 있어 이를 '정황'으로 판단했다"고 추가 유출 가능성에 대해 경계했다.
현재 KT는 고객 보호를 위해 위약금 면제, 보험, 유심 교체 등 후속 조치를 병행하고 있다. 피해 고객 대상 유심 교체 및 보호 서비스를 진행 중이며, 문자뿐 아니라 직접 전화를 걸어 안내 중이다.
김영걸 KT 서비스프로덕트본부장은 "9월 18일부터 '안전안심보험'을 기존 2만 30명에게 적용했고, 새로 통지된 고객도 동일한 혜택을 받게 된다"며 "전국 2000개 '안전안심 매장'에 전문상담사를 배치해 악성앱 진단, 해킹보험 안내, 경찰 신고 절차 등을 지원하고 있다"고 설명했다.
KT는 재발 방지를 위해 비인가 장비의 망 접속을 원천 차단하는 보안 기능을 추가하고, 불법 장비가 망에 접속할 경우 상위 시스템에서 즉시 연동을 끊는 로직을 적용할 방침이다.
구재형 KT 네트워크기술본부장은 "이번 달 내 관련 기능을 완비해 민관합동조사단 검증을 받을 예정"이라며 "비정상 패턴 탐지 룰을 강화해 실시간 모니터링 체계를 구축하겠다"고 밝혔다.
KT는 이날 브리핑에서 앞서 과학기술정보통신부가 제기한 '서버 폐기 의혹'과 관련해서도 해명했다. 모현철 KT 정보보호담당은 "사전에 침해 정황을 인지하지 못한 상태에서 가상서버(VM)를 삭제한 것"이라며 "의도적인 폐기는 아니며, 백업 데이터를 확인해 경찰에 이미 제출했다"고 강조했다.
한편, 이번 KT의 전수조사 결과 발표로 오는 21일 열리는 국회 과학기술정보방송통신위원회 국정감사에서는 KT 불법 기지국 사태의 축소·은폐 논란과 후속 대책이 핵심 쟁점으로 다뤄질 전망이다.
전날 국회 과학기술정보방송통신위원회 소속 황정아 더불어민주당 의원은 자체 조사를 통해 KT 불법 기지국 접속자와 피해자 수가 당초 알려진 규모보다 크게 늘어난 사실을 공개했다.
황 의원은 이와 관련해 "KT 발표 수치와 경찰 수사 결과가 일치하지 않아 추가 피해가 더 있을 가능성이 높다"며 "추가 피해가 없다는 식으로 상황을 모면하려던 KT의 거짓말이 결국 드러났다. 반복적이고 악의적인 축소·은폐 행태에 대해 징벌적 제재를 가해야 한다"고 지적했다.
dconnect@newspim.com
