KT 불법 기지국 사태, IMSI 유출과 소액결제 피해의 진실

최근 KT에서 발생한 무단 소액결제 피해 사건과 관련해, 조사 결과 불법 초소형 기지국인 펨토셀이 KT 네트워크에 접속해 일부 이용자의 가입자식별정보(IMSI)를 유출한 사실이 드러났습니다. KT는 처음에는 "개인정보 유출은 없다"고 밝혔다가 하루 만에 인정하며 공식 사과했습니다. 이번 사건은 보안 관리 허점, 늦은 대응, 그리고 여전히 풀리지 않은 의문점들로 관심을 모으고 있습니다.

불법 기지국 발견 과정

출처:김영섭 KT 대표이사가 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액결제 피해 관련 기자 브리핑에 앞서 고개 숙여 사과 하고 있다. 사진=뉴스1 김영섭 KT 대표가 11일 서울 광화문KT지사에서 열린 소액결제 피해 관련 브리핑을 하고 있다. 

• 사건은 9월 1일, 수사기관이 KT에 소액결제 피해 분석을 의뢰하며 시작됐습니다. 당시 KT는 스미싱 가능성이 크다고 판단해 적극적인 대응을 하지 않았습니다.
• 4일 특정 지역에서 피해가 집중되고 언론 보도가 이어지자 다시 분석에 들어갔고, 결제 이력에서 이상 징후를 확인했습니다.
• 결국 5일 새벽부터 비정상 결제 차단과 결제 한도 축소 등의 긴급 조치를 취했으며 이후 추가 피해는 막을 수 있었지만, 초기 대응이 늦었다는 비판은 피하기 어려운 상황입니다. 
• 조사 과정에서 일부 피해 고객이 등록되지 않은 기지국에 접속한 사실이 드러났습니다. 이 장비는 겉보기에는 KT 초소형 기지국 체계를 따랐으나, KT의 관리망에 등록되지 않은 ‘불법 펨토셀’이었습니다.

불법 펨토셀과 IMSI 유출 규모

KT는 추가 분석을 통해 불법 기지국 2대를 확인했고, 이 기지국에서 신호를 수신한 고객은 약 1만9천 명으로 집계됐습니다. 다만 단순 수신까지 포함된 숫자라 실제 IMSI가 유출된 고객은 5,561명으로 파악됐습니다.

KT는 이 사실을 8일 한국인터넷진흥원(KISA)에 신고했고, 같은 날 신규 펨토셀 등록 절차를 중단했습니다. 이어 11일에는 개인정보보호위원회에 유출 사실까지 공식 보고했습니다.

여전히 남은 의문점

불법 기지국의 정체

1. KT는 불법 펨토셀이 과거 자사 네트워크에 등록됐다가 철거 과정에서 유출되었을 가능성을 언급했습니다.  
2. 철거 과정에서 ID는 삭제됐지만 해당 장비가 어떻게 다시 네트워크에 연결될 수 있었는지, 어떻게 소액결제까지 가능했는지에 대한 명확한 해명은 내놓지 못하고 있습니다. 

소액결제가 가능했던 경위

1. IMSI 값만으로는 소액결제를 실행할 수 없습니다. 해커가 피해자의 이름, 주민등록번호 등 추가 개인정보가 필요하기 때문입니다.
2. 업계에서는 해커가 다크웹이나 다른 경로를 통해 이미 확보해둔 개인정보와 이번에 유출된 IMSI를 결합했을 수 있다는 분석을 내놓고 있습니다.
3. KT 측 역시 “초소형 기지국을 통해 IMSI 외 개인정보가 유출될 수는 없다”며, 다른 경로 가능성을 배제하지 않고 수사 결과를 지켜보겠다는 입장을 밝혔습니다.

KT의 입장과 향후 대응

KT는 이번 사태를 계기로 펨토셀 신규 등록 중단, 보안 체계 강화, 수사기관과의 공조를 약속했습니다. 그러나 처음에는 개인정보 유출을 부인했다가 하루 만에 입장을 번복한 점에서 대응의 신뢰성이 흔들렸다는 비판을 피하기 어려워 보입니다.

현재로서는 IMSI 외의 추가 개인정보가 실제로 유출됐는지, 불법 기지국이 어떻게 네트워크에 연결될 수 있었는지에 대한 명확한 답이 나오지 않은 상태입니다. 수사 결과에 따라 사건의 파장이 더 커질 수 있습니다.

맺음말

이번 사건은 통신사의 보안 관리 허점이 개인 피해로 이어질 수 있다는 점을 보여주는 사례입니다. 단순한 해킹을 넘어 불법 기지국이 실제 통신망에 접속 가능하다는 사실 자체가 충격입니다. 앞으로 KT의 추가 조사와 정부 기관의 수사 결과가 빠르게 공개되어, 피해 고객들의 불안이 최소화되기를 기대 해봅니다.