https://n.news.naver.com/mnews/article/018/0006113168?sid=001

불법 개조 초소형기지국, 6월부터 최소 3개월간 운영
KT, 하루 만에 IMSI 유출 인정…5561명 피해 추정
소액결제하려면 추가 개인정보 필요…현재 파악안돼
대통령 질타 후 김영섭 대표 직접 사과
3중 차단 시스템으로 재발 방지 약속[이데일리 윤정훈 기자]KT(030200) 소액결제 해킹 사태를 일으킨 해커들이 불법 초소형 기지국(펨투셀)을 지난 6월부터 최소 3개월간 운영해온 사실이 드러났다. 전날까지만 해도 개인정보 유출이 없다고 발표했던 KT는 하루 만에 가입자식별정보(IMSI) 유출을 인정하며, 정부 당국과 협력해 원인을 철저히 규명하겠다고 사과했다.

KT는 11일 서울 종로구 광화문빌딩 웨스트 사옥에서 기자간담회를 열고 소액결제 사태에 따른 대응 현황과 향후 계획을 발표했다. KT에 따르면 고객 통신 이력 분석 결과 불법 기지국 2개가 발견됐으며, 해당 기지국의 신호 수신 이력이 확인된 고객은 약 1만9000명에 달했다. 이 가운데 IMSI 유출 정황이 확인된 고객은 5561명이라고 밝혔다.
 

KT 김영섭 사장을 비롯한 임직원들이 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 최근 발생한 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 왼쪽부터 서창석 KT 네트워크 부문장 부사장, 김 사장, 이현석 커스터머 부문장 부사장.(사진=연합뉴스)

KT “불법 기지국, 6월부터 망에 접속 기록”…IMSI 유출 원인 설명

KT는 자체 조사 결과, 이번 사건에 사용된 불법 초소형 기지국 2대가 지난 6월 26일부터 KT 통신망에 접속 기록을 남긴 사실을 확인했다고 밝혔다. 이 장비들은 매일 작동한 것은 아니지만 주로 새벽 시간대 약 2시간가량 가동되며 특정 지역을 지나는 가입자의 휴대전화 신호를 가로챈 것으로 드러났다.

구재형 KT 네트워크기술본부장은 “최근 1년간 KT 망에 연동된 기지국 이력을 전수 조사한 결과 현재까지 확인된 2대를 제외한 다른 불법 기지국은 없었다”며 “앞으로는 KT가 인증한 유선 인터넷 회선에 연결된 초소형 기지국만 서비스될 수 있도록 제한했다”고 설명했다.

그는 또 “IMSI가 유출됐다고 추정하는 이유는 LTE 단말이 국제 표준에 따라 전원을 켠 뒤 최초 기지국 접속 시 IMSI를 평문으로 송신하기 때문”이라며 “5G는 이를 보완해 SUCI라는 암호화 체계를 도입, 최초 접속 시에도 IMSI가 노출되지 않도록 보안을 강화했다”고 덧붙였다.

아울러 불법 기지국 2대는 해커들이 새로 제작한 장비가 아니라 기존에 KT가 운영하던 초소형 기지국을 개조했을 가능성도 제기됐다. 구 본부장은 “철거된 장비를 불법적으로 입수해 개조했거나, 별도의 시스템을 제작해 초소형 기지국에 적용했을 수 있다”며 “실물을 확보해 조사를 진행해야 정확한 사실을 확인할 수 있다”고 말했다.

IMSI만으로는 부족…다른 개인정보와 결합해 범행 추정

KT 소액결제 해킹 사태와 관련해 전문가들은 “IMSI 정보만으로는 소액결제를 실행할 수 없다”고 지적한다. 이름, 생년월일 등 추가적인 개인정보가 반드시 필요하다는 것이다.

이에 따라 해커들이 이미 다크웹 등에서 유통되는 고객 정보를 확보한 뒤, 이번에 새로 탈취한 IMSI와 결합해 범행을 저질렀을 가능성이 크다는 분석이 나온다. KT는 이 부분에 대해 “정부 당국과 함께 추가 조사 중”이라고 밝혔다.

김영대 카이스트 교수는 “초소형 기지국을 통해 전화번호나 이름 같은 기본 정보는 확인할 수 있지만, 실제 소액결제를 진행하려면 별도의 개인정보가 반드시 요구된다”고 강조했다.
 

구재형 KT 네트워크기술본부장이 11일 브리핑에서 IMSI 유출 정황 정보를 설명하고 있다(사진=윤정훈 기자)

KT, 해킹 인지·대응 과정 ‘초동 미흡’ 지적

KT가 이상 결제 패턴을 처음 인지한 시점은 이달 5일 새벽 3시였다. 당시 네트워크 차단 조치를 통해 추가 결제를 막았다고 설명했지만, 초기 대응은 부실했다는 비판이 제기된다. 고객센터에 피해 신고가 접수됐음에도 불구하고 이를 단순 스미싱 가능성으로 축소 판단해 외부 기관 신고가 지연됐기 때문이다.

KT는 5일 사태 확인 직후 수동 차단에 나섰고, 6일부터는 비정상 소액결제를 자동으로 차단하는 시스템을 적용했다. 이어 8일 오후 7시 16분 한국인터넷진흥원(KISA)에 사건을 신고했으며, 9일 오전 9시에는 불법 초소형 기지국 신규 등록을 전면 중단했다. 같은 날 오후 2시 30분에는 개인정보보호위원회에 IMSI 정보 유출 정황을 보고했다.

현재까지 KT가 집계한 피해 규모는 고객 278명, 피해액 약 1억7000만원에 달한다.

대통령 질타 이후 몇 시간 만에 김영섭 대표 사과

이재명 대통령은 이날 오전 수석보좌관회의에서 “KT 소액결제 해킹 사건의 전모를 신속히 규명하고 추가 피해를 막는 데 정부가 적극 나서야 한다”며 “사건 은폐·축소 의혹까지 제기되는 만큼 책임 소재를 명확히 해야 한다”고 강조했다.

대통령 발언 직후 열린 긴급 기자간담회에서 김영섭 KT 대표는 “고객 여러분께 심려와 불안을 끼쳐드린 점에 대해 무거운 마음으로 사과드린다”며 고개를 숙였다. 그는 이어 피해 고객에게 금전적 손실이 발생하지 않도록 100% 선보상을 진행하고 있으며, 통신사 이동을 원하는 고객에게는 위약금 면제도 검토 중이라고 밝혔다.

3중 차단 시스템 도입

KT는 재발 방지 대책으로 ‘3중 차단 시스템’을 내놨다. 구체적으로 △등록되지 않은 불법 기지국의 접속 원천 차단 △비정상 결제 패턴의 실시간 탐지 및 차단 △전체 소액결제 건에 대한 일일 모니터링 체계를 구축한다는 내용이다.

또한 고객이 직접 결제 한도를 설정하고 추가 인증을 강화할 수 있는 기능을 확대해, 이용자가 체감할 수 있는 보안을 제공하겠다고 덧붙였다.