개인정보 유출 없다더니 5561명 피해…KT, 결국 '대국민 사과' [종합]

KT가 자체 조사 결과 불법 초소형 기지국 통해 5561명 이용자의 가입자식별번호(IMSI)가 유출된 정황을 확인했다. 다만 유심 관련 정보가 저장되는 홈가입자서버(HSS) 침해는 확인되지 않았다. 또한 불법 기기 변경이나 복제폰은 없는 것으로 파악했다.

KT는 11일 추가 자체 조사 결과 IMSI 유출 정황이 이날 확인됐다면서 사과했다. 구재형 KT 네트워크기술본부장·상무는 서울 KT 광화문 사옥에서 열린 기자간담회에서 "전날 (과학기술정보통신부 브리핑에서) 확실하지 않아 유출 정황이 없다고 한 점에 대해 다시 한 번 사과드린다"며 고개를 숙였다.

KT의 자체 조사 결과 불법 초소형 기지국 2개의 신호를 수신한 적 있는 이용자는 1만9000명이었다. 통화 등 트래픽을 이용하지 않고 순수하게 기지국 수신호만 잡은 이용자까지 포함한 규모다. 이 중에서 IMSI 유출 피해 가능성이 있는 이용자는 5561명으로 파악됐다. KT가 자체적으로 파악한 무단 소액결제 피해자 278명도 포함된 수치다. 1인당 피해 규모액은 평균 54만원으로 추정된다.

구 상무는 "기지국을 이동하더라도 단말이 모두 IMSI를 보내는 건 아니다"라면서 "단순 신호만 받은 분들 중에서 IMSI를 보낸 이력이 있는 분들 5561명을 추렸다. 실제 여러가지 타입의 단말이 있을 수 있어서 그런 부분까지 분석하고 있다"고 설명했다.

KT는 2차적으로 상품권 결제 외에도 기타 소액결제 사례를 분석하고 있다. 김영걸 KT 서비스프로덕트 본부장·상무는 "상품권 결제로 소액결제가 대부분 이뤄졌지만 교통카드에서 현금화를 진행하는 등 조금 다른 유형들이 있었다"며 "2차적으로 해당 고객을 대상으로 기타 소액결제 전체를 분석 중이다. 오늘 중 완료될 것"이라고 말했다. 이에 따라 KT는 무단 소액결제 피해자가 수십명 정도 증가할 수 있을 것으로 예상했다.

KT는 개인정보 유출이 의심되는 이용자들에게 개인정보보호위원회 신고 사실과 피해 사실 여부 조회 방법 등을 문자 메시지로 안내한다. 불법 초소형 기지국 신호 수신 이력이 있는 이용자 전원의 유심은 무료로 교체한다. 유심 보호 서비스도 제공한다.

유심 교체 대상자는 KT 닷컴에 로그인을 하면 확인할 수 있다. 오는 12일부터는 로그인을 하지 않아도 유심 교체 여부를 확인할 수 있다. 유심 교체는 매장 방문, 택배 등으로 가능하다. 김 상무는 "금전적 피해는 KT가 100% 보상하겠다"고 강조했다.

서버 파기에 대해서 KT는 한국인터넷진흥원(KISA) 측에 먼저 연락했다며 정보보호 책임자로서 깊이 반성한다고 덧붙였다. 황태선 KT 정보보안실장은 "어떤 가이드가 없다보니까 자체 서비스를 전환하는 과정에서 서버를 파기했다"며 "이런 상황에서 조금만 더 신경썼다면 KISA에 거꾸로 추가적 요청사항이 있는지 의견을 받아뒀을 수 있다고 생각한다. 이 부분에 대해 깊이 반성한다"고 말했다.

김영섭 KT 대표는 이날 "최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과 드리고자 무거운 마음으로 이 자리에 섰다. 국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다"며 "통신사로서 의무와 역할을 다하겠다"고 사과했다.

개인정보위원회는 KT의 개인정보 유출 신고로 무단 소액결제 사고와 경위와 피해 규모를 조사할 방침이다. 개인정보위는 구체적인 유출 경위를 포함해 피해 규모, 안전조치 의무 준수 여부 등을 확인하고 법 위반 사항이 발견되면 관련 법령에 따라 처분한다.

박수빈 한경닷컴 기자 waterbean@hankyung.com