2만명 넘긴 KT 해킹 피해…불법 기지국 방치에 조사 방해 의혹까지

서창석 KT 네트워크부문장 부사장이 17일 서울 광화문 사옥에서 열린 '소액결제 및 개인정보 유출 피해 관련 전수 조사 결과' 브리핑에서 설명을 하고 있다.ⓒ데일리안 조인영 기자

KT ‘무단 소액결제’ 사태와 관련해 3차 브리핑에서 불법 기지국 16개가 추가로 확인되고 피해자도 368명으로 늘어난 것으로 나타났다. 이로써 KT의 초동 대응과 신속한 대처가 부족했다는 비판을 피하기 어렵게 됐다.

KT는 17일 서울 광화문 사옥에서 열린 '소액결제 및 개인정보 유출 피해 관련 전수 조사 결과' 브리핑에서 불법 펨토셀 ID는 기존 4개에서 16개가 추가 발견돼 총 20개로 확인됐고, 해당 펨토셀 ID 접속 이력이 있는 고객 수는 추가로 2200여 명이 파악돼 총 2만2200여 명으로 집계됐다고 밝혔다.

불법 펨토셀 16개 추가 확인·접속 고객 2만2200명

불법 기지국에 접속된 피해자의 휴대전화 번호, 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI) 등 개인정보가 유출된 정황으로 미뤄, 추가 피해자 2000여 명의 정보도 노출됐을 가능성이 제기된다.

KT는 9월 초 사건 초기부터 "IMSI 외에는 유출 사실이 없다"고 주장했지만, 9월 중순 내부적으로 IMEI와 전화번호 유출 정황을 인지하고도 외부 공표를 하지 않은 것으로 드러났다. 이후 같은 달 11일 기자간담회에서 5561건의 IMSI 유출 정황을 인정했고, 15일에는 서버 침해 사실까지 파악했으나 당국 신고와 공개는 늦어졌다.

이날 밝힌 무단 소액결제 피해 고객은 기존 362명에서 6명이 추가된 368명(777건)이며, 이들의 피해액은 총 319만원이다.

회사 측은 PASS 인증 및 DCB 결제에서는 이상 결제가 확인되지 않았다고 밝혔다. 무단 소액결제가 최초로 발생한 시점은 당초 확인 내용과 동일하게 2025년 8월 5일이며, KT가 비정상적인 소액결제 시도를 차단한 9월 5일 이후 새로운 피해는 발생하지 않은 것도 다시 확인했다는 설명이다.

KT “DB 유출은 아냐”…결제 정보 확보 경로는 미확인

KT는 불법 펨토셀이 자사 망에 접속된 것은 사실이나, 내부 데이터베이스(DB) 유출로 인한 것은 아니라고 강조했다.

구재형 상무는 "이력을 보면 기지국에 불법 펨토셀이 접속한 게 맞는 것으로 보인다"면서도 "고객 정보 유출 정황은 어떤 데이터베이스가 나간 게 아니라 표준적으로 이러한 메시지들이 그 기지국을 통해 처리됐을 가능성 때문에 유출 정황으로 말씀드렸다"고 말했다.

이어 "현재 불법 펨토셀이 KT망에 붙지 못하도록 조치했고 현재도 모니터링하는 상황"이라고 덧붙였다. 통상 휴대폰-KT 기지국-KT 네트워크로 이뤄지는 구조가 이번 사고에서는 불법 펨토셀이 중간에 낀 ‘우회 경로’가 됐을 것이라는 주장이다.

소액결제에는 이름, 생년월일, 성별 등 개인정보가 필수적으로 사용되는 만큼, 이를 공격자들이 내부 침입 없이 어떤 경로로 확보했는지는 여전히 확인되지 않았다. 현 단계에서는 외부 유출 정보의 활용 가능성과 내부 해킹 가능성이 모두 거론된다.

이에 대해 구재형 상무는 "(해당 개인정보는) 불법 기지국에서 확보할 수 없는 정보다. 결제할 때는 이름, 생년월일, 성별이 필요하다. 이 부분을 합동조사단에서 저희 내부 서버를 조사하고 있다"고 말했다.

서창석 KT 네트워크부문장 부사장이 17일 서울 광화문 사옥에서 열린 '소액결제 및 개인정보 유출 피해 관련 전수 조사 결과' 브리핑에서 설명을 하고 있다.ⓒ데일리안 조인영 기자

KT, 서버 폐기·자료 제출 논란에 ‘조사 방해’ 의혹까지

사건이 처음 알려진 9월 4일 이후 한 달 넘게 KT가 사실을 축소하고 피해자에게만 개별 통보하는 방식으로 대응해 왔다는 점에서, 피해 규모가 더 확산할 가능성이 제기된다.

김영걸 KT 서비스Product본부장 상무는 "전수 데이터를 갖고 피해 고객을 식별하고 그분들을 중심으로 케어를 하고 있다"고 말했다.

KT는 사건 초기 불법 펨토셀이 자사 네트워크에 접속한 정황을 즉각 차단하지 못했고, 소액결제 인증 체계에도 보완이 필요한 허점이 발견됐다는 지적도 받고 있다.

정보보호 관리체계(ISMS)의 실효성도 도마 위에 올랐다. KT는 ISMS 인증 기업임에도 해킹 사고 발생을 막지 못했다는 점에서, 인증 제도의 점검 필요성이 제기됐다.

과기정통부는 "현장 실사 강화 등 제도 보완을 추진하고 있으며, 대형 통신사에 대한 보안 의무 이행 여부를 직접 점검하는 법적 장치를 마련하겠다"고 밝혔다. 아울러 과기정통부는 경찰, 개인정보보호위원회 등과 함께 KT의 초동 대응 적절성, 해킹 장비 출처, 결제 정보 탈취 경로 등을 복합적으로 조사 중이다.

사태 파악과는 별개로, KT가 피해 규모를 축소하거나 서버 자료 제출을 지연하는 등 조사를 고의로 방해했다는 의혹에 대해서도 수사 과정에서 소명해야 한다.

KT는 지난 8월 1일 관련 서버를 폐기했다고 제출했지만, 실제로는 8월 1일(2대), 8월 6일(4대), 8월 13일(2대) 등 13일까지 순차적으로 8대를 폐기했다. 또 폐기 서버의 백업 로그가 존재했음에도 이 사실을 9월 18일까지 조사단에 보고하지 않았다.

이에 과기정통부는 KT가 무단 소액결제 및 해킹 사태 조사 과정에서 허위자료를 제출하고 증거를 은닉하는 등 정부 조사를 방해한 정황이 있다고 보고 지난 2일 수사를 의뢰했다.

경찰은 KT가 정부 조사 방해를 목적으로 서버 폐기 일정을 고의로 허위 보고하고 백업 로그 존재 사실을 은닉했는지 여부를 살피고 있다.