KT, 개인정보 유출 2만명… 소액결제 피해 2억4,000만원 확대

시사위크=조윤찬 기자  KT가 ‘휴대폰 무단 소액결제’에 대해 2차 분석한 결과, 피해 규모가 늘어난 것으로 나타났다.

18일 구재형 KT 네크워크기술본부장은 광화문 사옥 기자간담회에서 무단 소액결제 피해액은 2억4,000만원, 피해자 수는 362명이라고 밝혔다.

지난 11일 KT는 278명에 1억7,000만원의 피해 규모를 알렸다. KT는 6월 1일부터 9월 10일까지 이뤄진 소액결제 2,267만건 전체를 분석한 결과, 피해 규모가 증가했다고 설명했다. 최초 소액결제 피해는 8월 5일이며, 지난 5일 불법 초소형 기지국 차단 조치 이후 피해는 없는 것으로 파악됐다.

가입자 통화 데이터를 분석한 결과 불법 초소형 기지국이 2개가 추가로 발견됐다. 불법 초소형 기지국은 기존에 알려진 2개 기지국을 더해 4개로 늘어났다.

기존 2개 기지국의 신호를 받은 가입자는 약 1만9,000명이다. 신규 발견 기지국 2개 신호를 받은 가입자를 합하면 2만30명이다. KT는 이전까지 IMSI(국제 이동 가입자 식별정보) 유출된 가입자는 5,561명으로 이외 개인정보 유출은 없다고 했다. 그러나 IMSI 이외에도 IMEI(단말기 식별번호), 전화번호가 유출된 것으로 파악됐다. 이에 개인정보 유출 피해는 2만30명으로 확대됐다.

KT는 소액결제 피해 362명 가운데 278명에 대한 환불 처리를 완료했다. 잔여 84명은 18일까지 환불 처리될 예정이다. KT는 피해자들에 대한 문자 발송을 완료했다고 설명했다. KT는 전국 2,000여개 매장을 안전안심 전문매장으로 전환하며 가입자 문의에 대응할 계획이다.

복제폰을 만들려면 IMSI, 인증키(K, OPc), IMEI 3개가 모두 필요하다. 이에 KT는 인증키는 유출되지 않아 복제폰을 만들 수 없다고 강조했다. 유심 인증키는 유심에 보관되고, KT 시스템에는 암호화 된 상태로 저장됐다는 게 KT 측 설명이다.

KT는 현재 조사한 결과 대로면 복제폰을 만들 수 없는데, 해커가 복제폰 없이 ARS 인증을 어떻게 통과했는지는 설명하지 못하고 있다. 구재형 본부장은 “ARS 인증은 다른 개인정보가 필요하다”며 “경찰 수사로 확인할 수 있다”고 말했다.

한편 경찰은 지난 17일 KT 무단 소액결제 용의자 중국 교포 2명을 인천국제공항과 서울 영등포구에서 각각 검거했다. A씨는 불법 초소형 기지국을 갖고 차량에 탑승해 지난달 말 소액결제 피해 지역을 다니고, B씨는 무단 취득한 상품권을 현금화하는 역할을 맡은 것으로 알려졌다.

용의자가 검거되면서 무단 소액결제 수사에 진전이 있을 것으로 기대를 받고 있다. 그러나 용의자들이 중국에 윗선이 있다고 진술하며 전체 용의자들을 검거하는 건 쉽지 않을 것으로 보인다.