18일 오후 KT 임원들이 광화문 KT WEST 사옥에서 소액결제 피해 관련 2차 브리핑을 진행하고 있다. 심화영기자

[대한경제=심화영 기자] KT가 최근 발생한 소액결제 피해와 관련해 18일 2차 브리핑을 열고 추가 침해 정황과 고객 보호 조치 현황을 공개했다. 지난 11일 1차 발표 이후 VOC(고객 문의) 기반 조사에 이어, ARS 인증을 거친 소액결제 건을 전수 조사하고 통화ㆍ결제 패턴을 결합해 면밀히 분석한 결과다.

KT는 이 과정에서 기존 상품권 결제 피해 외에도 교통카드 등 다른 유형의 소액결제 피해 사례를 추가 확인했다고 밝혔다. 피해 고객 수는 당초 278명에서 362명으로 늘었고, 누적 피해 금액은 2억4000만원으로 집계됐다. 불법 초소형 기지국(펨토셀) ID도 기존 2개 외에 2개를 추가로 확인해 총 4개가 적발됐다. 이 기지국을 통해 국제이동가입자식별정보(IMSI), 국제단말기식별번호(IMEI), 휴대폰 번호가 유출된 정황이 드러났다.

그러나 KT는 핵심 인증키는 유출되지 않았다고 강조했다. 구재형 KT 네트워크기술본부장은 “지난 5일 비정상적인 소액결제 시도를 차단한 이후 새로운 피해는 발생하지 않았다”며 “인증키는 유출되지 않은 만큼 복제폰 생산 가능성은 없다”고 밝혔다. 이어 “완벽하게 망을 운영하지 못한 점에 대해 고객들께 사과드린다”고 덧붙였다.

KT는 추가로 확인한 피해 정황을 개인정보보호위원회에 보완 신고했고, 해당 고객에게는 신고 사실과 피해 여부 조회 기능, USIM 교체 신청 및 보호서비스 가입 링크 등을 KT닷컴ㆍ마이케이티 앱ㆍ문자메시지(SMS)를 통해 개별 안내하고 있다. 피해 고객에게는 소액결제 금액을 부담하지 않도록 조치하고, 무료 유심 교체와 유심 보호 서비스 가입도 지원한다.

김영걸 KT 서비스프로덕트본부장은 “피해 고객에게 추가 보상 방안을 신속히 마련하겠다”며 “피해 고객 362명 중 1차 278명에 대해선 청구 조정을 완료했고, 알뜰폰 고객도 동일하게 케어하겠다”고 말했다.

이번 사건의 핵심은 불법 초소형 기지국을 이용한 물리적 중간자 공격으로, KT의 SMS 구현 방식이 SK텔레콤과 달리 종단 암호화가 적용되지 않아 해킹된 펨토셀에서 암호화되지 않은 평문을 가로채 소액결제용 OTP를 탈취하는 식의 국지적ㆍ타깃형 피해가 발생했다. KT는 펨토셀을 통해 망 커버리지를 넓히는 전략이 변화할 지 장기 로드맵에 대해선 별도 설명할 예정이다.

KT는 이번 사건을 계기로 전국 2000여개 매장을 ‘안전안심 전문매장’으로 전환하고, 향후 휴대폰ㆍ통신기기 사용과 연계해 발생하는 금융사기 피해를 보상하는 ‘KT 안전안심보험(가칭)’을 3년간 무료 제공하는 등 고객 보호를 강화할 계획이다.

또 초소형 기지국을 비롯한 네트워크 관리 체계를 고도화하고, 비정상적인 소액결제 유형 차단 및 실시간 모니터링을 강화하는 등 재발 방지 대책도 추진한다. 이동통신사들은 LTE 도입 당시 통신 품질 향상을 위해 경쟁적으로 펨토셀을 도입ㆍ운영해 왔다. 

손정엽 KT 디바이스사업본부장은 “인증키 값을 모르면 불법 복제폰은 불가능한데, 인증키 값은 시스템 내부에 있고 암호화돼 관리되고 있다”면서 “인증키 값은 오로지 유심과 서버에만 있기 때문에 IMIE를 설령 알더라도 불법 복제폰은 불가능하다”고 말했다.

심화영 기자 dorothy@

〈ⓒ 대한경제신문(www.dnews.co.kr), 무단전재 및 수집, 재배포금지〉