[아이뉴스24 서효빈 기자] KT 소액결제 사고 조사 결과 국제이동가입자식별정보(IMSI)뿐 아니라 단말기 고유 식별번호(IMEI), 휴대전화 번호가 유출된 것이 18일 확인됐다. 이같은 개인정보 유출 대상은 총 2만40명에 달한다.
![구재형 KT 네트워크부문 네트워크기술본부장이 18일 오후 서울 종로구 KT광화문빌딩에서 KT 소액결제 피해 관련 대응 현황 발표 기자회견을 하고 있다. [사진=KT]](https://image.inews24.com/v1/0f6c0afcf8ee2f.jpg)
다만 KT는 복제폰 생성 가능성은 없다고 선을 그었다. 유심 복제를 위해서는 IMEI·휴대전화 번호 외에도 유심 인증키가 필요한데 이번 사고에서 인증키는 유출되지 않아 복제폰을 통한 2차 피해는 발생할 수 없다는 설명이다.
KT는 문제가 된 펨토셀을 회수하기로 하고, 최근 3개월간 사용 이력이 없는 4만3000대를 우선 연동 해지했다.
또한 전국 200여 개 매장을 '안전안심 전문매장'으로 전환한다. 피해 고객에게는 향후 휴대폰 이용과 관련된 금융사기 피해를 보상하는 'KT 안전안심보험(가칭)'을 3년간 무료 제공해 고객 보호를 강화할 방침이다.
다음은 구재형 KT 네트워크기술본부장, 김영걸 서비스프로덕트본부장, 김종혁 디바이스사업본부장, 황태선 정보보호 실장과 일문일답
-362명으로 피해가 늘었다. 최종 규모일지.
(김영걸 서비스프로덕트본부장) ARS 인증을 거친 소액결제 건을 전수 조사해서 (불법 초소형 기지국 ID를) 총 4개 확인했다. 앞에 2개는 많은 고객들이 활용해서 초기에 쉽게 찾았는데, 뒤에 찾은 2건은 하루만 작동했다. 결제 패턴과 통화 패턴을 결합해 면밀한 분석 과정을 거쳤기에 완결적으로 찾았다고 볼 수 있다.
-IMSI 외 정보가 추가 유출된 데 대한 입장은.
(구재형 네트워크기술본부장) 처음에 사고를 접했을 때 피해가 더 이상 발생하지 않는 데 집중했다. 이후 민관합동조사단과 추가 확대 분석을 거쳐 (IMEI 유출) 가능성을 확인했다. 최종적으로 불법 무선기지국의 신호를 수신한 분 전체를 고객정보 보호 대상자로 결정하게 됐다. 분석을 번복해 죄송하다.
-어떤 근거로 인증키가 나가지 않았다고 보는지.
(김종혁 디바이스사업본부장) 인증키는 시스템 내부에 안전하게 저장되어 있다. 인증키 값은 외부 인터페이스를 허용하지 않는 보안이 강화된 영역에 암호화되어 저장돼 있다. 또 인증키가 두 곳에 저장되어있는데, 인증 과정에선 인증키값이 아닌 연산된 결과 값으로 오고 가게 된다.
-KT 코어망에 불법 소형 기지국에 어떻게 붙었는지
(구재형 본부장) 처음 로그 기준 ID 두 개가 보였다. 이에 하드웨어도 두 대로 추정했던 것이다. 용의자가 잡혔으니 하드웨어 실체와 실제 하드웨어가 몇 대인지 나올 것 같다. 장비는 30평형 아파트 내부를 서비스할 수 있는 사양으로, 피해 규모로 봐서는 추가로 앰프를 연결했을 것이라 보고 있다. 이 앰프에 KT와의 연동 정보가 들어가 있는 것이 아닐까 추정하고 있다.
-추가로 예상되는 피해가 있는가?
A: (김영걸 본부장) 복제폰 우려가 큰데 인증키값이 굉장히 안전하게 보호되고 있어 그 부분의 우려는 없다.
-추가 유출 피해가 있다면 어떤 책임을 질 것인가?
(김영걸 본부장) 이번 사태로 발생하는 금전적 피해에 대해선 전부 책임지겠다.
-3개월 간 신호에 잡히지 않은 펨토셀이 약 4만3000여대가 올해 2만대가 회수됐다고 하는데, 나머지 2만3000여대는 회수가 불가능한건지?
(구재형 본부장) 3개월 동안 사용 이력이 하나도 없는 펨토셀을 대상으로 해서 우선적으로 차단을 했다. 또 2주 내 전수조사를 해서 다 개별 접촉해 확인해야 하는 상황이다. 장기 휴가 등의 경우가 있기 때문에 4만3000대에 대해 다 일일이 확인해야 한다. 사용되지 않는 건 회수하고 현장에 없는 건 망실 처리해서 접속하지 못하도록 조치할 예정이다.
-최근 애플 소액결제 건과 연관성 있을지.
(김영걸 본부장) 애플 소액결제는 이번 과는 별건이다.
-정보보호 투자액에 이번 사고에 따른 후속 조치 비용도 포함될지.
(황태선 실장) 올해와 내년엔 투자 우선 순위를 모바일 서비스, 단말, 보안 쪽으로 중점 재배치하려 한다. 이런 문제가 인프라 노후화 문제도 있지만 프로세스 문제도 있을 수 있기 때문에 보안 거버넌스도 더 강화하려는 생각이 있다.
-1차 브리핑 때 위약금 면제를 전향적으로 검토하겠다고 말하셨다. 과기정통부장관도 KT 대표와 이야기 했다고 하는데 위약금 면제는 어떤 식으로 이뤄지는지?
(김영걸 본부장) 위약금 면제는 앞서 전향적으로 검토하겠다고 말씀드린 바 있다. 지금까지는 고객 분들에게 빨리 조치를 취하고 안내하는 활동 등에 주력해왔다. 아직 추가 보상을 할 시점 등까지는 고민을 못하고 있다. 고객 입장에서 신속하게 검토해서 말씀드리겠다.
/서효빈 기자(x40805@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기