KT '소액결제' 피해 362명·2억4000만원으로 늘어…IMSI 이어 IMEI·전화번호 유출 정황

[이코노믹데일리] KT ‘소액결제’ 사태의 피해 규모가 눈덩이처럼 불어나고 있는 가운데 기존에 알려진 IMSI(국제이동가입자식별정보) 외에 단말기 고유 식별번호인 IMEI와 휴대전화 번호까지 유출된 정황이 추가로 확인됐다. 특히 최초 피해 발생 시점이 언론 보도보다 한 달이나 앞선 지난 8월 초였음이 드러나면서 KT의 ‘늑장대응’이 피해를 키웠다는 비판을 피하기 어렵게 됐다.

KT는 18일 브리핑을 열고 지난 6월부터 ARS 인증을 거친 소액결제 내역을 전수 조사한 결과를 발표했다. 그 결과 피해 고객은 당초 278명에서 362명으로 누적 피해 금액은 2억4000만원으로 늘어났다. 또한 기존에 확인된 불법 초소형 기지국 ID 2개 외에 2개의 ID를 추가로 발견했으며 이들 4개의 불법 기지국 신호를 수신한 이용자는 총 2만 명에 달하는 것으로 파악됐다.

◆ IMSI, IMEI, 전화번호까지…추가 정보 유출과 ‘심 스와핑’ 우려

더 큰 문제는 유출된 정보의 종류가 늘어났다는 점이다. KT는 이들 불법 기지국을 통해 기존에 인정한 IMSI 외에도 IMEI와 휴대전화 번호까지 유출된 정황을 확인하고 18일 개인정보보호위원회에 보완 신고를 마쳤다고 밝혔다.

 
단말기와 이용자를 특정할 수 있는 핵심 정보들이 대거 유출되면서 유심을 복제해 다른 스마트폰으로 금융 거래 등을 하는 ‘심 스와핑’ 범죄에 대한 우려가 커지고 있다. 

KT는 “복제폰 생성에 필수인 인증키는 유출되지 않아 복제폰 생산 가능성은 없다”고 강조했지만 한 보안 전문가는 “추가 유출이 지속 확인됨에 따라 인증키 등 다른 정보 역시 안전을 보장하기 힘든 상황”이라며 “서버 침해 여부에 대한 정밀조사 결과가 나와야 복제폰 우려를 떨칠 수 있을 것”이라고 지적했다.

◆ ‘늑장대응’이 피해 키웠다…한 달간의 공백

이번 KT의 발표로 ‘늑장대응’ 논란은 더욱 거세질 전망이다. 국회 과방위 소속 황정아 의원실이 공개한 자료에 따르면 이번 사태의 최초 피해 발생일은 8월 5일이다. 이후 피해는 산발적으로 이어지다 8월 27일에는 하루에만 106건으로 폭증했다.

하지만 KT가 경찰로부터 관련 분석 요청을 받은 것은 9월 1일이었고 언론 보도가 나온 9월 4일이 되어서야 사안을 재분석해 9월 5일 새벽에야 비정상 결제를 차단했다. 만약 경찰의 첫 통보 직후라도 적극적으로 대응에 나섰다면 9월 2일과 3일에 발생한 109건의 추가 피해는 막을 수 있었다는 지적이 나온다.

황정아 의원은 “최소 8월 5일부터 이상 신호가 있었는데 KT의 축소·은폐 시도로 피해가 막대해졌다”며 “과기정통부가 즉각적인 전수조사를 통해 피해 상황을 국민들께 소상히 보고하고 축소·은폐 행위를 발본색원해야 한다”고 강력히 촉구했다.

 
KT는 추가로 확인된 피해액 역시 전액 고객이 부담하지 않도록 조치하고 불법 기지국 신호 수신 이력이 있는 2만명 전원에게 무료 유심 교체와 유심 보호 서비스를 지원하겠다고 밝혔다. 또한 피해 고객을 대상으로 3년간 금융사기 피해 보상하는 'KT 안전안심보험'을 무료로 제공하고 전국 2000여 개 매장을 ‘안전안심 전문매장’으로 전환하는 등 재발 방지 대책도 발표했다.

KT는 “고객들에게 큰 불편과 우려를 끼친 점에 대해 거듭 사과하며 피해 고객에 대한 보호와 지원을 최우선으로 삼겠다”며 “고객 신뢰를 회복하기 위해 재발방지 대책과 제도 개선을 철저히 추진하며 고객 보호에 책임을 다하겠다”고 강조했다.