KT, 소액결제 조사기간 1년 확대하니 개인정보 추가 유출 확인

시사위크|광화문=조윤찬 기자  KT가 무단 휴대폰 소액결제 조사 기간을 확대하자 개인정보 유출 피해 규모가 늘어났다. KT는 이번 조사에 모든 역량을 동원했다고 강조했다. 추가 피해는 국회의원실을 통해 전날 먼저 알려졌지만 KT는 오늘 최종 확인했다고 밝혀 피해 인지 시점에 대한 논란이 이어질 것으로 보인다.

◇ 2,000여명 개인정보 유출 확대… 지난해 10월 최초 유출 정황

17일 KT는 광화문 사옥에서 소액결제 피해 관련 기자간담회를 열고 전수조사 결과 개인정보 유출과 소액결제 피해 규모가 늘어났다고 밝혔다.

서창석 KT 네트워크부문장은 총 피해규모는 중복값을 제외하면 2만,2,227명의 IMSI(국제 이동 가입자 식별정보), IMEI(단말기 식별번호), 전화번호 3종의 개인정보 유출, 소액결제 368명(약 2억4,000만원)이라고 전했다. KT는 개인정보보호위원회에 보완 신고했으며, 이날 신규 피해자들에 문자를 보냈다. 조사기간은 지난해 8월 1일부터 지난 9월 10일까지로 약 13개월로 진행됐다. KT는 ARS, SMS, PASS 인증과 DCB 결제(구글 플레이, 애플 앱스토어, 디바이스 인증, 지문인증 등) 방식의 1억5,000만건의 통신과금대행 결제내역을 조사했다.

이에 새로운 불법 초소형 기지국 ID 16개가 추가로 발견돼 불법 기지국은 총 20개다. 2,000여명이 추가로 불법 기지국으로부터 신호를 수신한 것으로 분석돼 개인정보 유출 규모가 늘어났다. 신규 6명의 소액결제 피해(319만원)도 확인됐다. KT는 PASS인증과 DCB 방식으로는 이상 결제가 없다고 밝혔다. 최초 개인정보 유출 정황은 지난해 10월이다. 소액결제 피해기간은 올해 8월 5일부터 9월 5일까지로 이전 발표와 같다.

9월 발표에선 4개 ID의 불법 초소형 기지국으로부터 신호를 수신한 2만30명의 IMSI, IMEI, 전화번호가 유출된 것으로 확인됐다. 당시 KT는 ARS 인증방식을 위주로 소액결제 2,267만건만 분석했고, 소액결제 피해는 362명의 약 2억4,000만원이었다. 해당 조사기간은 지난 6월 1일부터 9월 10일까지 3개월이다.

◇ KT “추가 피해사실, 오늘 최종적으로 확인”

불법 기지국 IMSI 접속 피해자 지역 분포를 보면 서울 1만4,018건(결제 피해 79명), 경기도 9,184건(결제 피해 280명), 인천 282건(결제피해 9명), 강원도 91건(결제 피해 0명)으로 나타났다.

조사기간을 지난해 8월로 확대한 것에 대해 구재형 KT 네크워크기술본부장은 “관련 법령 및 규정에 의해 1년치 데이터를 저장하고 있다”며 “최장 13개월까지 분석했다”며 “이번에 기지국 접속이 확인된 고객을 개인정보 유출 규모에 포함했다”고 말했다.

향후 국회 국정감사에서 피해사실 인지 시점에 대한 검증이 진행될 것으로 관측된다. 황정아 더불어민주당 의원실은 16일 보도자료를 통해 불법 초소형 기지국 20개, 2,000여명 개인정보 추가 유출, 소액결제 10명 이내 추가 피해 내용을 알렸다. KT의 피해사실 인지 시점에 대한 질문에 구재형 본부장은 “추가 피해사실은 오늘 최종적으로 확인했다”고 답했다.

ARS 인증을 위해선 이름과 생년월인 등의 개인정보가 추가로 필요하다. KT는 해당 정보들은 불법 초소형 기지국으로는 확보할 수 없다고 판단했다. 민관합동조사단이 서버 침해사고를 조사한 결과가 나와야 추가 개인정보 유출 항목에 대해 알 수 있다는 게 KT 측 설명이다.

KT는 침해사고가 의심되는 서버를 폐기하며 정부 조사를 방해한 혐의를 받고 있다. 과학기술정보통신부는 서버를 폐기한 KT를 경찰에 수사 의뢰했다. 모현철 KT 정보보안실 상무는 “서버를 의도적으로 폐기하지 않았다”며 “조사방해로 수사의뢰된 것에는 성실히 협조하겠다”고 말했다. KT는 해지 고객에 대한 위약금 면제 관련해선 민관합동조사단 조사결과와 고객 피해를 확인하고 검토한다는 입장을 유지했다.