[비즈니스포스트] KT가 불법 기지국을 통한 무단 휴대전화 소액결제 해킹으로 가입자식별번호만 일부 유출됐다고 밝혔지만, 민관합동조사로 추가 개인정보 유출이 확인될 것인지 주목되고 있다. 

추가 개인정보 유출 피해가 확인될 경우, KT 역시 SK텔레콤의 유심 해킹 사태 수준의 충격을 피하기 어렵다는 관측이 나온다. 

가입자 이탈은 물론 위약금 면제, 과징금 등 일회성 비용 부담의 대폭 증가가 불가피할 것이라는 관측도 나온다.

12일 통신 업계 취재를 종합하면 KT는 불법 초소형 기지국을 통해 일부 가입자의 국제이동가입자식별번호(IMSI)가 외부로 유출됐다고 밝혔다. 하지만 IMSI 정보만으로는 무단 소액결제가 불가능해 민감한 개인정보가 유출됐을 가능성이 제기된다.

KT 측은 지난 11일 기자간담회를 통해 불법 초소형 기지국으로 인한 단말기 IMSI 유출 정황을 확인했다고 밝혔다. 

가입자 통신 이력을 분석한 결과 불법 초소형 기지국 2개가 발견됐으며, 해당 기지국 신호를 수신한 가입자는 총 1만9천 명으로 확인됐다.

이 가운데 5561명은 IMSI 유출 정황이 있는 것으로 집계됐고, 10일 기준 278명이 실제 소액결제 피해를 입은 것으로 파악됐다. 전체 피해액은 1억7천만 원며, 1인당 피해액은 54만 원이다.

문제는 IMSI 정보만으로는 소액결제가 불가능하다는 점이다. 

이에 따라 개인의 이름, 생년월일, 계좌번호, 비밀번호 등 민감한 개인정보가 함께 유출됐을 가능성을 배제할 수 없다는 지적이 나오고 있다.

배경훈 과학기술정통부 장관은 11일 국회 과학기술정보방송통신위원회 전체회의에서 범인이 IMSI 외에도 가입자 개인정보를 가지고 있을 수 있다고 추정했다.

이번 무단 소액결제 범인들이 제3의 공간인 다크웹에서 확보한 개인정보를 불법 초소형 기지국에서 빼내고 IMSI와 결합해 결제를 했을 가능성이나, 다른 경로에서 개인정보가 유출됐을 가능성 등 다양한 관측이 나오고 있다.

다만 KT 측은 11일 간담회에서 “홈가입자서버(HSS)는 해킹 이력이 없었기에 불법 복제에 필요한 단말기식별번호(IMEI)나 인증키는 노출되지 않았다”며 “불법 초소형 기지국에서 유출될 수 없는 정보이기 때문에 경찰 수사가 끝나면 확인할 수 있을 것”이라고 말했다.

하지만 보안 전문가들은 신중한 입장을 보이고 있다.

한 보안 전문가는 비즈니스포스트와 통화에서 “개인정보가 결합이 돼야 소액결제가 이뤄지기 때문에 추가 유출이 안 됐다고 볼 수는 없는 상황”이라며 “모든 가능성을 열어두고 조사해야 한다”고 말했다.
  추가 민감한 개인정보 유출이 확인될 경우, KT 역시 지난 4월 발생한 SK텔레콤의 유심 해킹 사고 때 겪었던 것처럼 유심 교체, 요금 감면, 위약금 면제, 과징금 부과 등의 절차를 밟을 가능성이 있다는 관측이 나온다.

다만 지금까지 확인된 피해 규모를 고려할 때, KT가 동일한 수순을 거치더라도 일회성 비용은 SK텔레콤보다 상대적으로 적을 것으로 보인다. 

문제는 이미 금전적 피해를 본 가입자가 존재하고, 추가 피해 발생 가능성도 남아 있다는 점이다.

만약 추가 정보 유출과 피해 사례가 확인돼 소비자 불안이 확산된다면, KT는 당국의 제재와 함께 가입자 이탈이 불가피할 것이란 관측이 나온다.

앞서 SK텔레콤은 직접적 금전 피해가 확인되지 않았음에도 심리적 불안 확산에 따른 보상과 정부 제재로 약 7천억 원 규모의 일회성 비용이 발생했다.

이재명 대통령은 지난 11일 대통령실 수석보좌관 회의에서 KT 소액결제 해킹 사태를 언급하며 책임을 명확히 물으라고 지시했다. 이에 따라 정부와 규제당국의 조사와 제재 강도가 한층 강화될 수 있을 것이란 관측도 나온다.

금전적 피해를 입은 가입자들이 집단 손해배상 소송 등에 나설 수 있을 것이란 전망도 제기된다. 

김홍식 하나증권 연구원은 이날 보고서에서 “낙관적으로 보면 아직은 KT 고객들의 반발이 크지 않으므로 요금 경감, 위약금 면제, 과징금 조치 없이 끝날 수도 있겠지만, 비관적으로 보면 SK텔레콤과 비슷한 수준의 큰 파장이 일어날 수도 있다”고 주장했다. 조승리 기자