“유출 없다” 하루 만에 말 바꾼 KT… 5561명 정보 유출 공식 시인

“개인정보 유출은 없다”던 KT가 하루 만에 “머리 숙여 죄송하다”며 5,561명의 정보 유출을 공식 시인했다. 단순 스미싱 해프닝으로 치부했던 사건이 통신 대기업의 보안 체계를 뒤흔든 대형 사고로 번지면서, 김영섭 대표까지 직접 나서 고개를 숙였다. KT의 안일한 초기 대응과 위기관리 능력이 도마 위에 오르며 신뢰는 바닥으로 추락했다.

식별정보는 어떻게 털렸나

이번 사태의 주범은 KT 통신망에 등록되지 않은 ‘불법 초소형 기지국(펨토셀)’이었다. 해커는 이 유령 기지국을 통해 고객 스마트폰의 ‘가입자식별정보(IMSI)’를 훔쳐냈다. IMSI는 통신사가 가입자를 구별하기 위해 부여하는 국제 표준 고유번호로, 개인의 통신 기록 추적이나 위치 파악에 악용될 수 있는 민감 정보다.

KT 자체 조사 결과, 불법 기지국에 접속된 고객은 약 1만 9000명, 이 중 실제 IMSI가 유출된 고객은 5,561명으로 확인됐다. 이들 중 278명은 1인당 평균 54만 원에 달하는 무단 소액결제 피해를 입었다. KT는 피해자가 더 늘어날 수 있다고 밝혀 추가 피해 우려를 낳고 있다.

“IMSI만으론 불가능” 풀리지 않는 결제 미스터리

KT는 IMSI 유출 사실은 인정하면서도, 범행의 핵심 경로에 대해서는 명쾌한 답을 내놓지 못했다. 통신·보안 업계는 상품권 등을 소액결제하려면 이름, 주민등록번호 등 추가 정보가 필요한데 IMSI만으로는 결제가 불가능하다고 본다. 해커가 다른 경로로 개인정보를 이미 확보했거나, KT 인증 시스템의 또 다른 취약점을 파고들었을 것이라는 추정이 나오는 이유다.

범행의 핵심 수법에 대한 질문이 쏟아지자, KT 측은 당혹감을 감추지 못했다.

구재형 KT 네트워크기술본부장은 “(정확한 경위를) 저희도 파악하지 못했다”며 “해당 정보들은 불법 기지국에서 유출될 수 없는 정보라 수사 결과를 기다리는 중”이라고 답했다. 그는 다만 “인증에 필요한 암호화 키값이나 단말기 고유번호(IMEI) 등은 절대 노출되지 않았다”고 선을 그었다.

또 솜방망이 처벌?…매출 3% 과징금 가능성

이번 사태로 KT가 정보통신망법을 위반했는지 여부도 쟁점으로 떠올랐다. ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’은 KT처럼 고객 정보를 다루는 개인정보처리자에게 기술적·관리적 보호조치를 취할 의무를 부과한다.

만약 KT가 불법 기지국 접속을 탐지하고 차단하는 데 소홀했다는 사실이 인정되면, 관련 매출액의 3% 이하에 해당하는 과징금이나 책임자에 대한 형사 처벌까지 가능하다.

과거 여러 기업이 대규모 개인정보 유출 사고를 겪었지만, 대부분 수천만 원 수준의 과태료 처분에 그쳐 솜방망이 처벌이라는 비판이 끊이지 않았다. 이번 사건을 계기로 개인정보 유출 기업에 대한 처벌을 강화해야 한다는 목소리가 다시 힘을 얻고 있다.

“전액 보상” 약속에도 싸늘…신뢰 회복은 첩첩산중

김영섭 대표는 “금전적 피해는 100% 책임지고 신속히 보상하겠다”며 유심(USIM) 무료 교체와 소액결제 인증 절차 강화 등을 약속했다. 하지만 고객들은 이미 정보가 유출된 뒤에야 나온 대책이라며 소 잃고 외양간 고치는 격이라는 싸늘한 반응을 보이고 있다.

결국 KT의 신뢰 회복은 ‘IMSI만으로 어떻게 결제가 가능했는가’라는 핵심 의문을 규명하는 데서 시작될 전망이다.