김영섭 KT 사장(가운데)이 지난 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 소액결제 피해와 관련해 고개 숙여 사과하고 있다. 사진=KT
KT가 최근 발생한 소액결제 침해 사고와 관련해 일부 고객의 국제이동가입자식별정보(IMSI) 유출 가능성이 확인됐다.
이번 사고는 불법 초소형 기지국(펨토셀)을 통한 LTE 망 보안 취약성이 원인으로 지목되면서 통신업계 전반에 파장이 일고 있다.
KT에 따르면, 불법 기지국 신호를 수신한 고객은 약 1만9,000명이며, 이 가운데 IMSI 유출 가능성이 있는 가입자는 5,561명으로 집계됐다.
현재까지 확인된 피해 건수는 278건, 피해 금액은 약 1억 7,000만 원에 달한다. 고객 1인당 평균 피해액은 약 54만 원이다.
KT는 지난 11일 서울 광화문 사옥에서 긴급 기자간담회를 열고 "고객의 불편과 불안을 초래한 데 대해 깊이 사과드린다"며 대국민 사과했다.
이어 "확인된 피해에 대해서는 전액 보상하고, 재발 방지를 위해 책임 있는 후속 조치를 다하겠다"고 밝혔다.
KT는 IMSI 유출 가능성이 있는 5,561명을 포함해 불법 기지국 신호 수신 이력이 있는 전체 1만9,000명 고객에게 무료 유심(USIM) 교체와 '유심 보호 서비스'를 지원한다.
해당 고객들에게는 피해 여부 조회와 서비스 신청 방법이 문자로 안내됐다.
또한 24시간 전담 고객센터를 운영해 소액결제 피해나 개인정보 악용이 의심될 경우 즉시 상담·신고할 수 있도록 했다.
KT는 비정상 소액결제를 전수 조사해 확인된 피해 고객에게는 청구를 면제하고, 추가 피해가 발생하지 않도록 차단 조치를 강화했다.
이번 사건은 LTE 망 보안 취약성이 현실화된 대표 사례라는 점에서 주목된다.
LTE망은 초기 접속 과정에서 IMSI가 평문으로 전송돼 불법 기지국에 의해 가로채질 가능성이 지적돼 왔으며, 반면 5G망은 가상 식별자(SUCI)를 활용해 상대적으로 보안성이 강화된 것으로 알려져 있다.
과학기술정보통신부, 개인정보보호위원회, 경찰청 등은 민관 합동조사단을 구성해 불법 기지국의 실체와 유출 경로를 추적 중이다.
특히 ARS 본인인증 절차가 어떻게 우회됐는지, 통신사 보안 관리 체계의 구조적 허점은 없었는지가 조사의 핵심이다.
전문가들은 이번 사건이 단순 해킹을 넘어 통신망 신뢰성 자체에 대한 우려를 키우고 있다고 지적한다.
업계에서는 ARS 인증에 대한 의존도를 줄이고, 패스(PASS) 앱 인증이나 생체 인증 등 고도화된 본인인증 체계 확산이 필요하다는 목소리가 커지고 있다.
또 이번 사태를 계기로 정부 차원의 보안 규제 강화와 통신 3사의 보안 투자 확대가 불가피할 것이라는 전망이 제기된다.